Ten en cuenta que en las ciencias informáticas un error casi siempere suele tener más de una soluciones, no obstante aquí te mostraremos lo mejor y más eficiente.
Solución:
El artículo Protección de escritorio remoto (RDP) para administradores de sistemas enumera estos consejos:
- Utilice contraseñas seguras
- Actualice su programa
- Restringir el acceso mediante cortafuegos
- Habilitar autenticación de nivel de red (habilitado de forma predeterminada para Windows 10)
- Limite los usuarios que pueden iniciar sesión usando Escritorio remoto (el valor predeterminado es todos los administradores)
- Establecer una política de bloqueo de cuenta (bloquear una cuenta después de varias conjeturas incorrectas)
- Cambie el puerto de escucha para Escritorio remoto (el valor predeterminado es TCP 3389)
- No utilice otros productos como VNC o PCAnywhere
Para su pregunta sobre la autenticación de dos factores, no creo que esto exista en Windows 10 Pro, solo en Windows Server.
El artículo Las 5 mejores alternativas a Google Authenticator enumera seis productos que tienen un plan gratuito (pero también de pago): Google Authenticator, Authy, Duo, HDE OTP, Authenticator Plus, Sound Login Authenticator. Nunca he usado tales productos, así que no sé qué tan útiles son para usted.
Según la información actual, mis recomendaciones son:
- Al configurar un Túnel SSHobtienes una capa adicional de autenticación, donde puedes usar otra usuario Contraseña o público key autenticación iniciar sesión. Puedes además habilitar ofuscacióncon una forma completamente diferente clave, como tú querías. De esa manera, también hace que sea más difícil para alguien que monitorea el tráfico ver que es SSH, y para conectarse, ambos necesitan esa contraseña y cualquier inicio de sesión de SSH que haya configurado. Agregue a eso, que está canalizando el tráfico RDP, que también está encriptado.
Sobre el ventanas maquina que puedes Instalar en pc Bitvise SSH Server y en el Macpuedes agregar soporte de ofuscación al OpenSSH integrado con algunas rutas de ZingLau.
- 2FA puede que será posible, pero no será fácil ni gratuito. los inicio de sesión con tarjeta inteligente integrada requiere un dominio de Windows Active Directory, pero existen soluciones de terceros para equipos independientes. Soporte de autenticación EIDA PDR y está disponible en un libre versión de código abierto, pero solo para Ediciones caseras (sin embargo, ellos están pensando en un “programa de uso doméstico”, por lo que ponerse en contacto con ellos podría acelerar ese pensamiento). Pero en tu caso puede que no sea suficiente, ya que solo es para Windows y te conectas desde un Mac.
- Limitar las conexiones entrantes a la LAN se puede hacer fácilmente en firewall de Windows.
- cosas generales como contraseñas seguras y actualizando todos los equipos se hará, por supuesto. También recomiendo tener cuentas separadas de usuario y administradory solo permita que las cuentas de usuario (sin privilegios) inicien sesión a través de RDPpor lo que la cuenta de administrador debe iniciar sesión localmente.
- Lo siguiente que miraría sería el seguridad en los clientes que conecta, porque si están comprometidostodas las otras cosas que ha configurado no ayuda mucho. Pero estoy hablando de principios generales de seguridad, así que no entraré en detalles con eso.
Recuerda que tienes la opción de comentar si diste con la solución.