提高远程桌面连接的安全性

远程桌面协议 (RDP) 是管理 Windows 服务器的最简单和最常用的方法。 包含在所有版本的 Windows 服务器中,并且在所有 Windows 桌面上都有一个内置客户端。 也有免费的应用程序可用于 麦金塔电脑Linux 基于桌面。 不幸的是,由于它的应用如此广泛,RDP 也成为了大量 蛮力攻击 在服务器上。 恶意用户将使用受感染的计算机尝试使用 RDP 连接到您的服务器。 即使攻击未能成功猜出您的管理员密码,大量尝试连接也会导致服务器不稳定和其他性能问题。 幸运的是,您可以使用一些方法来最大程度地减少遭受此类攻击的风险。

使用 VPN

使用虚拟专用网络(或 VPN)是保护您的服务器免受 RDP 恶意攻击的最佳方法之一。 使用 VPN 连接意味着在尝试访问您的服务器之前,必须首先连接到安全的专用网络。 此专用网络已加密并托管在您的服务器之外,因此安全连接本身不需要您的任何服务器资源。 一旦连接到专用网络,您的工作站就会被分配一个专用 IP 地址,然后用于打开与服务器的 RDP 连接。 使用 VPN 时,服务器配置为仅允许来自 VPN 地址的连接,拒绝来自外部 IP 地址的任何尝试 (看 Windows 防火墙中的端口范围)。 VPN 不仅可以保护服务器免受恶意连接的侵害,还可以保护通过 VPN 连接在本地工作站和服务器之间传输的数据。 有关更多信息,请参阅我们的文章 什么是 VPN 隧道?

注意:所有 Liquid 网络帐户都免费提供一个 Cloud VPN 用户。 只需支付少量月费,您就可以添加其他用户。 如果您对我们的服务有任何疑问,请咨询我们的托管顾问 Cloud VPN服务。

使用硬件防火墙

就像使用 VPN 一样,向服务器基础设施添加硬件防火墙可以进一步保护您的服务器免受恶意攻击。 您可以将 Liquid Web 防火墙添加到您的帐户,以仅允许来自受信任位置的 RDP 连接。 我们的防火墙的运行方式与软件 Windows 防火墙的运行方式大致相同,但功能是在硬件本身上处理的,从而使您的服务器资源可以自由处理合法请求。 要了解有关向您的帐户添加硬件防火墙的更多信息,请联系我们 解决方案团队. 如果您已经安装了 Liquid Web 防火墙,我们的支持团队可以验证它是否已正确配置以保护 RDP 连接。

识别可信 IP 地址

保护您的服务器的一个组成部分是识别不受防火墙限制的受信任 IP 地址。 这允许通过 IP 过滤的选定连接获得对服务器的访问。 为此,我们从允许连接到服务器的所有计算机上打开 Web 浏览器。 然后,浏览到 Liquid Web IP 检查器工具 并记下该页面上显示的报告 IP 地址。 有了这些信息,我们然后继续下一节“范围”端口或添加防火墙规则。 如果您遇到问题,请参阅我们关于 RDP 连接故障排除的知识库文章。 或者,如果您只需要查找您的公共 IP 地址,请使用此链接。

界定 RDP 防火墙规则

与使用 VPN 类似,您可以使用 Windows 防火墙来限制对 RDP 端口(默认为端口 3389)的访问。 将端口访问限制为单个 IP 地址或一组 IP 地址的过程称为“范围界定”端口。 当您确定 RDP 端口的范围时,您的服务器将不再接受来自未包含在该范围内的任何 IP 地址的连接尝试。 范围界定释放了服务器资源,因为服务器不需要处理恶意连接尝试,被拒绝的未授权用户在到达 RDP 系统之前在防火墙处被拒绝。 以下是确定 RDP 端口范围所需的步骤:

  1. 登录到服务器,单击 Windows 图标,然后在搜索栏中键入 Windows 防火墙。

  2. 单击具有高级安全性的 Windows 防火墙。
  3. 单击入站规则。

  4. 向下滚动以查找标记为 RDP(或使用端口 3389)的规则。
  5. 双击规则,然后单击范围选项卡。

    RDP 范围

  6. 确保在允许的远程 IP 列表中包含您当前的 IP 地址(您可以通过以下方式找到您当前的公共 IP 地址) 访问此链接.
  7. 单击单选按钮 这些 IP 地址: 在远程 IP 地址下。
  8. 点击 好的 以保存更改。

更改 RDP 端口

虽然限定 RDP 端口范围是保护您的服务器免受使用远程桌面协议的恶意尝试的好方法,但有时无法限定端口范围。 例如,如果您或您的开发人员必须使用动态 IP 地址连接,则基于 IP 地址限制访问可能不切实际。 但是,您仍然可以采取一些步骤来提高 RDP 连接的性能和安全性。

大多数针对 RDP 的蛮力攻击使用默认端口 3389。如果通过 RDP 尝试登录失败多次,您可以更改 RDP 用于连接的端口。

  1. 在更改 RDP 端口之前,请确保您要使用的新端口在防火墙中处于打开状态,以防止被服务器锁定。 执行此操作的最佳方法是复制 RDP 的当前防火墙规则,然后使用要使用的新端口号更新新规则。
  2. 登录到您的服务器并通过在搜索栏中输入 regedit.exe 打开注册表编辑器。
  3. 在注册表中导航到以下内容:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
  4. 一旦向下滚动列表,直到找到“PortNumber”.
  5. 双击它会弹出编辑器框。
  6. 将其从 HEX 更改为 DEC,因此它是数字。
  7. 在此处设置端口号并点击“确定”(您可以使用任何您希望的端口号,但您应该选择一个尚未用于其他服务的端口。常用端口号列表可以在 麻省理工学院网站.)
  8. 关闭注册表编辑器并重新启动服务器。
  9. 请务必使用新的 RDP 端口号重新连接到服务器。

加入我们!

我们以成为 Hosting™ 中最有帮助的人而自豪!

我们的支持团队由经验丰富的 Linux 技术人员和才华横溢的系统管理员组成,他们对多种网络托管技术(尤其是本文中讨论的技术)有着深入的了解。

如果您对此信息有任何疑问,我们随时可以回答与本文相关的任何问题,一年 365 天,一周 7 天,一天 24 小时。

如果您是完全托管的 VPS 服务器, Cloud 专用,VMWare 私有 Cloud, 私有父服务器, 托管 Cloud 服务器或专用服务器所有者,并且您对执行列出的任何步骤感到不舒服,可以通过电话联系我们 @800.580.4985,a 聊天 或支持票以协助您完成此过程。

相关阅读:

Posted in: Linux