提高远程桌面服务（3389 端口）安全性的最佳实践

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

Buenas prácticas para mejorar la seguridad de los servicios de escritorio remoto (puerto 3389)

El Protocolo de Escritorio Remoto (RDP) es un método común para gestionar servidores, y su puerto por defecto es 3389. Aunque esto proporciona comodidad a los usuarios, también es un blanco fácil para los atacantes. Para proteger eficazmente los servidores de los abusos por fuerza bruta y otros ciberataques, es crucial adoptar una serie de medidas de seguridad. Este artículo detallará cómo mejorar la seguridad de los servicios de escritorio remoto y proporcionará pasos específicos para optimizar la configuración de seguridad.

Por qué es necesario cambiar el puerto por defecto 3389

Muchos hackers o malware encuentran objetivos vulnerables escaneando puertos por defecto como el 3389. Seguir utilizando el puerto predeterminado no sólo aumenta la probabilidad de que un servidor sea escaneado y atacado, sino que también puede facilitar amenazas como el cracking por fuerza bruta. Cambiando el puerto por defecto, puede reducir eficazmente las posibilidades de que su servidor sea atacado por herramientas automatizadas.

Pasos para modificar el puerto por defecto:

1. Abrir el Editor del Registro::
   • En el cuadro de diálogo Ejecutar, escriba regedit y pulsa intro.
2. Navegue hasta la siguiente ruta::HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. Modificar el número de puerto::
   • localice NúmeroPuerto cambiando su valor del predeterminado 3389 Modificar a otro número de puerto desocupado (por ejemplo:45678).
4. Actualizar las reglas del cortafuegos::
   • Asegúrese de que el cortafuegos ha permitido el acceso al nuevo número de puerto.
5. reiniciar algo::
   • Reinicie el Servicio de Escritorio Remoto o todo el servidor para aplicar los cambios.

Contraseñas seguras y gestión de cuentas

1. Uso de contraseñas seguras

Las contraseñas seguras son la primera línea de defensa para proteger los servidores. Las contraseñas débiles son fáciles de descifrar con herramientas de fuerza bruta, lo que puede provocar la intrusión en el servidor.

Requisitos de contraseña segura:

• No menos de 12 caracteres de longitud.
• Contiene letras mayúsculas y minúsculas, números y caracteres especiales.
• Evite utilizar palabras del diccionario o contenidos relacionados con información personal (por ejemplo, cumpleaños, nombres, etc.).

2. Desactivación de las cuentas por defecto

• Desactivar el sistema por defecto Administrador cuenta se convierta en el objetivo preferido de los atacantes.
• Cree una nueva cuenta con permisos equivalentes pero con un nombre único.

3. Limitar el número de intentos de inicio de sesión

• Configure un límite en el número de intentos fallidos de inicio de sesión en la directiva de grupo para bloquear la cuenta o retrasar los intentos de inicio de sesión una vez superado el número establecido.
• Evita que los atacantes rompan las contraseñas por fuerza bruta mediante numerosos intentos.

protección de la capa de red

1. Configurar las reglas del cortafuegos

• Limite el rango de direcciones IP a las que se permite acceder al servicio de Escritorio remoto mediante reglas de grupo de seguridad proporcionadas por Firewall de Windows o Servicios en la nube.
• Por ejemplo, sólo se permite el acceso por IP fija desde la red de la oficina.

2. Utilización de la asignación de puertos

• Si utiliza RDP en un entorno local, puede configurar el reenvío de puertos a través de su router para dirigir el acceso externo a un puerto interno no predeterminado.
• Esto no sólo mejora la seguridad, sino que también optimiza la estructura de la red.

3. Activar la autenticación a nivel de red (NLA)

• Active la autenticación a nivel de red en la configuración de RDP para garantizar que sólo los usuarios autenticados puedan iniciar sesiones remotas.

Incorporación de la acreditación multifactorial (AMF)

Habilitar la doble autenticación (2FA) para los inicios de sesión remotos es una de las medidas de seguridad más eficaces que existen en la actualidad. Aunque un atacante obtenga un nombre de usuario y una contraseña, no podrá iniciar sesión sin un segundo factor de autenticación, como un CAPTCHA dinámico.

Pasos de configuración:

1. Añada MFA utilizando una herramienta de terceros como Duo Security o la función de autenticación integrada de Windows.
2. Instale y configure la aplicación cliente adecuada (como Google Authenticator o Microsoft Authenticator).

Aumentar la seguridad con las VPN

Vincule el servicio RDP a una IP de la intranet para acceder al escritorio remoto a través de una conexión VPN. el túnel cifrado de la VPN mejora considerablemente la seguridad de los datos transmitidos.

Recomendaciones de configuración:

1. Instalar y configurar un servidor VPN (por ejemplo, OpenVPN, WireGuard).
2. Asegúrese de que los usuarios se conectan a la VPN antes de acceder a los servicios RDP de la red interna.
3. Actualice y mantenga regularmente el servicio VPN.

Herramientas de supervisión y protección de registros

1. Compruebe periódicamente el registro de entrada

• Supervise los intentos de inicio de sesión sospechosos comprobando regularmente los registros de inicio de sesión mediante el Visor de sucesos.
• Deben tomarse medidas inmediatas en caso de intentos fallidos frecuentes.

2. Instalación de herramientas de prevención de intrusiones

• Implemente Fail2Ban o una herramienta similar para bloquear automáticamente las IP maliciosas mediante el análisis de los registros.
• Trabaje con cortafuegos para bloquear dinámicamente las fuentes sospechosas.

Resumir y secuenciar la aplicación de la política de seguridad

Para mejorar completamente la seguridad de los escritorios remotos, se recomienda seguir la siguiente implementación paso a paso:

1. Modifique el puerto por defecto para reducir la posibilidad de ser escaneado.
2. Mejore la seguridad de las cuentas estableciendo contraseñas seguras y desactivando las cuentas predeterminadas.
3. Configure las reglas del cortafuegos o active las VPN para permitir sólo el acceso a redes de confianza.
4. Añade autenticación multifactor para añadir una capa adicional de protección al inicio de sesión.
5. Supervise regularmente los registros y utilice herramientas de protección para bloquear comportamientos maliciosos.

Con las medidas anteriores, su servidor tendrá un alto nivel de seguridad y podrá defenderse eficazmente contra los ataques de red más comunes.

En primer lugar, entre en el registro regedit

Y si está utilizando una conexión remota desde su propio ordenador es igualmente importante prestar atención a la seguridad de la conexión remota y luego encontrar el

(HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp)

O directamente en la Edición - Buscar, PortNumber carácter, y luego encontrar el sintonizado a 10 decimales modificar sus propias necesidades del puerto puede ser.

Por supuesto, el último en reiniciar el servidor está bien. ¡Por defecto 3389 no es necesario añadir el puerto puede ser, cambiar los otros puertos recuerde añadir un número de puerto de dos puntos con el fin de iniciar sesión sin problemas!

Diga adiós a los complejos números de puerto: DDNS de Cloudflare + certificados TLS + políticas basadas en reglas para un acceso remoto seguro con FlyingNiu NAS.

Tutorial en vídeo de Youtube Haga clic para entrar En el artículo anterior, utilizamos con éxito Cloudflare DDNS para conseguir un acceso eficiente y dinámico de nombres de dominio a Flying Niu NAS, diciendo adiós por completo a las limitaciones de velocidad de la versión gratuita de FN Connect. El cuello de botella de la velocidad está resuelto [...]

Configuración del servidor NAS Montaje compartido SMB/NFS Uso de Windows/UNRAID-NAS

Con la creciente demanda de almacenamiento de datos, cada vez más personas y empresas eligen servidores NAS (Network Attached Storage) para almacenar y compartir archivos.Los servidores NAS pueden proporcionar a un hogar, oficina o pequeña empresa [...]

Un SAI, Varios NAS Compartidos: Unraid + Santak TG-BOX 850 SAI Práctico Compartido

En el post anterior, hablamos de la importancia de UPS para NAS y cómo hacer la configuración básica de UPS en Unraid. De hecho, Unraid tiene una característica aún más potente -- el modo netserver, que significa dejar que Un [...]

Immersive Translation: Traductor bilingüe de páginas web para todas las plataformas, para aprender y utilizar al mismo tiempo.

En nuestro uso diario de ordenadores o teléfonos móviles, a menudo necesitamos acceder a diversas páginas web o plataformas de gestión, como PVE, Unraid, QunHui NAS, backend de enrutamiento, etc. Aunque la mayoría de estos sistemas ya admiten interfaz en chino, a veces la expresión original en inglés es más precisa, especialmente para el aprendizaje, el ajuste, etc. Aunque la mayoría de estos sistemas ya soportan interfaz en chino, a veces la expresión original en inglés es más precisa, especialmente en aprendizaje, tuning [...].