Bewährte Praktiken zur Verbesserung der Sicherheit von Remotedesktopdiensten (Port 3389)

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

Bewährte Praktiken zur Verbesserung der Sicherheit von Remotedesktopdiensten (Port 3389)

Das Remotedesktopprotokoll (RDP) ist eine gängige Methode zur Verwaltung von Servern, und der Standardanschluss ist 3389. Dies ist zwar bequem für die Nutzer, aber auch ein leichtes Ziel für Angreifer. Um Server wirksam vor Brute-Force-Missbrauch und anderen Cyberangriffen zu schützen, ist es wichtig, eine Reihe von Sicherheitsmaßnahmen zu ergreifen. In diesem Artikel wird detailliert beschrieben, wie die Sicherheit von Remote-Desktop-Diensten verbessert werden kann, und es werden konkrete Schritte zur Optimierung der Sicherheitseinstellungen beschrieben.

Warum Sie den Standard-Port 3389 ändern müssen

Viele Hacker oder Malware suchen nach anfälligen Zielen, indem sie Standard-Ports wie 3389 scannen. Die weitere Verwendung des Standard-Ports erhöht nicht nur die Wahrscheinlichkeit, dass ein Server gescannt und angegriffen wird, sondern kann auch Bedrohungen wie Brute-Force-Cracking erleichtern. Indem Sie den Standardport ändern, können Sie die Wahrscheinlichkeit, dass Ihr Server von automatisierten Tools angegriffen wird, wirksam verringern.

Schritte zum Ändern des Standardanschlusses:

1. Öffnen Sie den Registrierungseditor::
   • Geben Sie in der Dialogbox Ausführen regedit und drücken Sie die Eingabetaste.
2. Navigieren Sie zu folgendem Pfad::HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. Ändern Sie die Portnummer::
   • ausfindig machen. PortNummer und ändert seinen Wert vom Standardwert 3389 Ändern Sie auf eine andere freie Anschlussnummer (z. B.:45678).
4. Firewall-Regeln aktualisieren::
   • Vergewissern Sie sich, dass die Firewall den Zugriff auf die neue Anschlussnummer zugelassen hat.
5. etw. neu starten::
   • Starten Sie den Remotedesktopdienst oder den gesamten Server neu, um die Änderungen zu übernehmen.

Sichere Passwörter und Kontoverwaltung

1. die Verwendung von sicheren Passwörtern

Starke Passwörter sind die erste Verteidigungslinie bei der Sicherung von Servern. Schwache Passwörter können leicht von Brute-Force-Tools geknackt werden, was zu einem Eindringen in den Server führen kann.

Anforderungen an starke Passwörter:

• Nicht weniger als 12 Zeichen lang.
• Enthält Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
• Vermeiden Sie Wörter aus dem Wörterbuch oder Inhalte, die sich auf persönliche Informationen beziehen (z. B. Geburtstage, Namen usw.).

2. die Deaktivierung von Standardkonten

• Deaktivieren Sie den Systemstandard Verwalter Konto davor bewahren, ein bevorzugtes Ziel für Angreifer zu werden.
• Erstellen Sie ein neues Konto mit den gleichen Berechtigungen, aber einem eindeutigen Namen.

3. die Anzahl der Anmeldeversuche begrenzen

• Konfigurieren Sie einen Grenzwert für die Anzahl der fehlgeschlagenen Anmeldeversuche in der Gruppenrichtlinie, um das Konto zu sperren oder die Anmeldeversuche zu verzögern, wenn die festgelegte Anzahl überschritten wird.
• Verhindert, dass Angreifer Passwörter durch zahlreiche Versuche mit roher Gewalt knacken.

Schutz der Netzwerkebene

1. die Firewall-Regeln konfigurieren

• Begrenzen Sie den Bereich der IP-Adressen, die auf den Remotedesktopdienst zugreifen dürfen, durch Sicherheitsgruppenregeln, die von der Windows Firewall oder den Cloud-Diensten bereitgestellt werden.
• So ist beispielsweise nur ein fester IP-Zugang aus dem Büronetz erlaubt.

2. die Verwendung von Port Mapping

• Wenn Sie RDP in einer lokalen Umgebung verwenden, können Sie eine Portweiterleitung über Ihren Router einrichten, um den externen Zugriff auf einen nicht standardmäßigen internen Port zu lenken.
• Dies verbessert nicht nur die Sicherheit, sondern optimiert auch die Netzstruktur.

3. die Aktivierung der Authentifizierung auf Netzwerkebene (NLA)

• Aktivieren Sie die Authentifizierung auf Netzwerkebene in den RDP-Einstellungen, um sicherzustellen, dass nur authentifizierte Benutzer Remote-Sitzungen initiieren können.

Hinzufügung der Multi-Faktor-Akkreditierung (MFA)

Die Aktivierung der doppelten Authentifizierung (2FA) für Fernanmeldungen ist eine der wirksamsten Sicherheitsmaßnahmen, die es heute gibt. Selbst wenn ein Angreifer einen Benutzernamen und ein Passwort erlangt, kann er sich ohne einen zweiten Authentifizierungsfaktor, wie z. B. ein dynamisches CAPTCHA, nicht anmelden.

Schritte zur Konfiguration:

1. Fügen Sie MFA mit einem Drittanbieter-Tool wie Duo Security oder der in Windows integrierten Authentifizierungsfunktion hinzu.
2. Installieren und konfigurieren Sie die entsprechende Client-Anwendung (z. B. Google Authenticator oder Microsoft Authenticator).

Verbesserte Sicherheit mit VPNs

Binden Sie den RDP-Dienst an eine Intranet-IP, um über eine VPN-Verbindung auf den Remote-Desktop zuzugreifen. Der verschlüsselte Tunnel des VPNs erhöht die Sicherheit der übertragenen Daten erheblich.

Empfehlungen zur Konfiguration:

1. Installieren und konfigurieren Sie einen VPN-Server (z. B. OpenVPN, WireGuard).
2. Stellen Sie sicher, dass Benutzer eine Verbindung zum VPN herstellen, bevor sie auf RDP-Dienste im internen Netzwerk zugreifen.
3. Regelmäßige Aktualisierung und Wartung des VPN-Dienstes.

Tools zur Überwachung und zum Schutz von Protokollen

1. das Log-in-Protokoll regelmäßig überprüfen

• Überwachen Sie verdächtige Anmeldeversuche, indem Sie die Anmeldeprotokolle regelmäßig mit der Ereignisanzeige überprüfen.
• Bei häufigen Fehlversuchen sollten sofortige Maßnahmen ergriffen werden.

2. die Installation von Intrusion Prevention Tools

• Setzen Sie Fail2Ban oder ein ähnliches Tool ein, um bösartige IPs durch die Analyse von Protokollen automatisch zu blockieren.
• Arbeiten Sie mit Firewalls, um verdächtige Quellen dynamisch zu blockieren.

Zusammenfassung und Reihenfolge der Umsetzung der Sicherheitspolitik

Um die Sicherheit von Remote-Desktops vollständig zu verbessern, empfiehlt es sich, die folgende schrittweise Implementierung zu befolgen:

1. Ändern Sie den Standardport, um die Wahrscheinlichkeit zu verringern, dass er gescannt wird.
2. Erhöhen Sie die Sicherheit Ihrer Konten, indem Sie sichere Passwörter festlegen und Standardkonten deaktivieren.
3. Konfigurieren Sie Firewall-Regeln oder aktivieren Sie VPNs, um nur vertrauenswürdigen Netzwerkzugriff zuzulassen.
4. Fügen Sie die Multi-Faktor-Authentifizierung hinzu, um die Anmeldung zusätzlich zu schützen.
5. Überwachen Sie regelmäßig die Protokolle und verwenden Sie Schutzwerkzeuge, um bösartiges Verhalten zu verhindern.

Mit den oben genannten Maßnahmen verfügt Ihr Server über ein hohes Maß an Sicherheit und ist in der Lage, die meisten gängigen Netzwerkangriffe wirksam abzuwehren.

Geben Sie zunächst die Registrierung regedit

Und wenn Sie eine Fernverbindung von Ihrem eigenen Computer aus nutzen, ist es ebenso wichtig, auf die Sicherheit der Fernverbindung zu achten und dann die

(HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Steuerung \ Terminal Server \ WinStations \ RDP-Tcp)

Oder direkt in der Bearbeiten - Suchen, PortNumber Zeichen, und finden Sie dann die auf 10 Dezimalstellen abgestimmte ändern ihre eigenen Bedürfnisse des Ports werden kann.

Natürlich ist die letzte, um den Server neu zu starten ok. Standard 3389 nicht brauchen, um den Port auf sie hinzuzufügen, ändern Sie die anderen Ports denken Sie daran, einen Doppelpunkt Port-Nummer hinzufügen, um sich reibungslos anmelden!

Verabschieden Sie sich von komplizierten Portnummern: Cloudflare DDNS + TLS-Zertifikate + regelbasierte Richtlinien für sicheren Fernzugriff auf FlyingNiu's NAS.

Youtube Video Tutorial Click to Enter Im vorherigen Artikel haben wir erfolgreich Cloudflare DDNS verwendet, um einen effizienten dynamischen Domainnamen-Zugriff auf Flying Niu NAS zu erreichen und uns damit von den Geschwindigkeitsbegrenzungen der kostenlosen Version von FN Connect zu verabschieden. Der Geschwindigkeitsengpass wurde gelöst [...]

NAS-Server-Einrichtung SMB/NFS Shared Mount Windows/UNRAID-NAS-Verwendung

Angesichts der steigenden Nachfrage nach Datenspeicherung entscheiden sich immer mehr Menschen und Unternehmen für NAS-Server (Network Attached Storage) zum Speichern und Freigeben von Dateien. [...]

Eine USV, mehrere NAS gemeinsam nutzen: Unraid + Santak TG-BOX 850 UPS Praktische gemeinsame Nutzung

Im letzten Beitrag haben wir über die Bedeutung von USV für NAS und die grundlegende USV-Einrichtung in Unraid gesprochen. Tatsächlich verfügt Unraid über eine noch leistungsfähigere Funktion - den Netserver-Modus, was bedeutet, dass Unraid [...]

Immersive Translation: Zweisprachiger Webseiten-Übersetzer für alle Plattformen zum Lernen und gleichzeitigen Verwenden.

Bei der täglichen Nutzung von Computern oder Mobiltelefonen müssen wir oft auf verschiedene Webseiten oder Verwaltungsplattformen zugreifen, wie z. B. PVE, Unraid, QunHui NAS, Routing-Backend usw. Obwohl die meisten dieser Systeme bereits eine chinesische Benutzeroberfläche unterstützen, ist die englische Originalsprache manchmal genauer, vor allem beim Lernen, Einstellen usw. Obwohl die meisten dieser Systeme bereits die chinesische Schnittstelle unterstützen, ist manchmal der englische Originalausdruck genauer, vor allem beim Lernen, Tuning [...]...