Meilleures pratiques pour améliorer la sécurité des services de bureau à distance (port 3389)

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

Meilleures pratiques pour améliorer la sécurité des services de bureau à distance (port 3389)

Le protocole de bureau à distance (RDP) est une méthode courante de gestion des serveurs, dont le port par défaut est 3389. Bien que cela soit pratique pour les utilisateurs, c'est aussi une cible facile pour les attaquants. Pour protéger efficacement les serveurs contre les abus de force brute et autres cyberattaques, il est essentiel d'adopter une série de mesures de sécurité. Cet article explique en détail comment renforcer la sécurité des services de bureau à distance et fournit des étapes spécifiques pour optimiser les paramètres de sécurité.

Pourquoi faut-il changer le port par défaut 3389 ?

De nombreux pirates ou logiciels malveillants recherchent des cibles vulnérables en analysant les ports par défaut tels que le 3389. Le fait de continuer à utiliser le port par défaut augmente non seulement la probabilité qu'un serveur soit scanné et attaqué, mais peut également faciliter la réalisation de menaces telles que le craquage par force brute. En modifiant le port par défaut, vous pouvez réduire efficacement les risques d'attaque de votre serveur par des outils automatisés.

Etapes pour modifier le port par défaut :

1. Ouvrir l'éditeur du registre: :
   • Dans la boîte de dialogue Exécuter, tapez regedit et appuyez sur la touche Entrée.
2. Naviguez jusqu'au chemin suivant: :HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. Modifier le numéro de port: :
   • localiser Numéro de port en modifiant sa valeur par rapport à la valeur par défaut 3389 Modifier vers un autre numéro de port inoccupé (par exemple :45678).
4. Mise à jour des règles du pare-feu: :
   • Assurez-vous que le pare-feu a autorisé l'accès au nouveau numéro de port.
5. relancer qqch.: :
   • Redémarrez le service Bureau à distance ou l'ensemble du serveur pour appliquer les modifications.

Mots de passe forts et gestion des comptes

1. l'utilisation de mots de passe forts

Des mots de passe forts constituent la première ligne de défense pour sécuriser les serveurs. Les mots de passe faibles sont facilement cassés par des outils de force brute, ce qui peut conduire à l'intrusion dans le serveur.

Exigences strictes en matière de mot de passe :

• Pas moins de 12 caractères.
• Contient des lettres majuscules et minuscules, des chiffres et des caractères spéciaux.
• Évitez d'utiliser des mots du dictionnaire ou des contenus liés à des informations personnelles (par exemple, anniversaires, noms, etc.).

2) Désactivation des comptes par défaut

• Désactiver le système par défaut Administrateur pour éviter que le compte ne devienne une cible privilégiée pour les attaquants.
• Créez un nouveau compte avec des autorisations équivalentes mais un nom unique.

3. limiter le nombre de tentatives de connexion

• Configurez une limite sur le nombre de tentatives de connexion échouées dans la stratégie de groupe afin de verrouiller le compte ou de retarder les tentatives de connexion lorsque le nombre défini est dépassé.
• Empêche les attaquants de casser les mots de passe par force brute en effectuant de nombreuses tentatives.

protection de la couche réseau

1. configurer les règles du pare-feu

• Limitez la plage d'adresses IP autorisées à accéder au service Bureau à distance par le biais de règles de groupe de sécurité fournies par Windows Firewall ou Cloud Services.
• Par exemple, seul l'accès IP fixe à partir du réseau du bureau est autorisé.

2. utilisation de la cartographie des ports

• Si vous utilisez RDP dans un environnement local, vous pouvez configurer la redirection de port via votre routeur pour diriger l'accès externe vers un port interne autre que celui par défaut.
• Cela permet non seulement d'améliorer la sécurité, mais aussi d'optimiser la structure du réseau.

3) Activation de l'authentification au niveau du réseau (NLA)

• Activez l'authentification au niveau du réseau dans les paramètres RDP pour vous assurer que seuls les utilisateurs authentifiés peuvent lancer des sessions à distance.

Ajout de l'accréditation multifactorielle (AMF)

L'activation de la double authentification (2FA) pour les connexions à distance est l'une des mesures de sécurité les plus efficaces disponibles aujourd'hui. Même si un pirate obtient un nom d'utilisateur et un mot de passe, il ne pourra pas se connecter sans un deuxième facteur d'authentification, tel qu'un CAPTCHA dynamique.

Étapes de configuration :

1. Ajoutez le MFA à l'aide d'un outil tiers tel que Duo Security ou de la fonction d'authentification intégrée de Windows.
2. Installer et configurer l'application client appropriée (telle que Google Authenticator ou Microsoft Authenticator).

Renforcer la sécurité avec les VPN

Lier le service RDP à une IP intranet pour accéder au bureau à distance via une connexion VPN. Le tunnel crypté du VPN renforce considérablement la sécurité des données transmises.

Recommandations de configuration :

1. Installer et configurer un serveur VPN (par exemple, OpenVPN, WireGuard).
2. Assurez-vous que les utilisateurs se connectent au VPN avant d'accéder aux services RDP sur le réseau interne.
3. Mettre à jour et entretenir régulièrement le service VPN.

Outils de surveillance et de protection des journaux

1. vérifier régulièrement le journal de connexion

• Surveillez les tentatives de connexion suspectes en vérifiant régulièrement les journaux de connexion à l'aide de l'observateur d'événements.
• Des mesures immédiates doivent être prises en cas d'échecs fréquents.

2. l'installation d'outils de prévention des intrusions

• Déployer Fail2Ban ou un outil similaire pour bloquer automatiquement les IP malveillantes en analysant les journaux.
• Travailler avec des pare-feu pour bloquer dynamiquement les sources suspectes.

Résumer et séquencer la mise en œuvre de la politique de sécurité

Afin de renforcer pleinement la sécurité du bureau à distance, il est recommandé de suivre la procédure suivante, étape par étape :

1. Modifier le port par défaut pour réduire la possibilité d'être scanné.
2. Renforcez la sécurité de vos comptes en définissant des mots de passe forts et en désactivant les comptes par défaut.
3. Configurez les règles du pare-feu ou activez les VPN pour n'autoriser que l'accès aux réseaux de confiance.
4. Ajoutez l'authentification multifactorielle pour ajouter une couche supplémentaire de protection lors de la connexion.
5. Contrôler régulièrement les journaux et utiliser des outils de protection pour bloquer les comportements malveillants.

Grâce aux mesures susmentionnées, votre serveur bénéficiera d'un niveau de sécurité élevé et sera en mesure de se défendre efficacement contre les attaques de réseau les plus courantes.

Tout d'abord, entrez dans le registre regedit

Si vous utilisez une connexion à distance à partir de votre propre ordinateur, il est tout aussi important de veiller à la sécurité de la connexion à distance et de trouver la solution la plus adaptée.

(HKEY_LOCAL_MACHINE \N-Système \N-CurrentControlSet \N-Contrôle \N-Terminal Server \N-WinStations \N-RDP-Tcp)

Ou directement dans le menu Edition - Recherche, caractère PortNumber, puis trouver le numéro accordé à 10 décimales modifier leurs propres besoins du port peut être.

Bien sûr, le dernier redémarrage du serveur est correct. Par défaut 3389 n'a pas besoin d'ajouter le port peut être, changer les autres ports n'oubliez pas d'ajouter un numéro de port deux-points afin de se connecter en douceur !

Dites adieu aux numéros de port complexes : Cloudflare DDNS + certificats TLS + politiques basées sur des règles pour un accès à distance sécurisé avec FlyingNiu NAS.

Tutoriel vidéo Youtube Cliquez pour entrer Dans l'article précédent, nous avons utilisé avec succès le DDNS de Cloudflare pour obtenir un accès dynamique efficace au nom de domaine du NAS Flying Niu, en disant complètement adieu aux limitations de vitesse de la version gratuite de FN Connect. Le goulot d'étranglement de la vitesse est résolu [...]

Configuration du serveur NAS Montage partagé SMB/NFS Utilisation de Windows/UNRAID-NAS

Avec la demande croissante de stockage de données, de plus en plus de personnes et d'entreprises choisissent les serveurs NAS (Network Attached Storage) pour stocker et partager des fichiers.Les serveurs NAS peuvent fournir à une maison, un bureau ou une petite entreprise un ensemble de [...]

Un onduleur, plusieurs NAS en partage : Unraid + Santak TG-BOX 850 UPS Practical Sharing (partage pratique de l'onduleur)

Dans l'article précédent, nous avons parlé de l'importance des onduleurs pour les NAS et de la façon de configurer un onduleur de base dans Unraid. En fait, Unraid dispose d'une fonctionnalité encore plus puissante : le mode netserver, qui permet à Unraid de [...]

Traduction immersive : traducteur de pages web bilingues pour toutes les plateformes, à apprendre et à utiliser en même temps.

Dans notre utilisation quotidienne des ordinateurs ou des téléphones portables, nous avons souvent besoin d'accéder à diverses pages Web ou plateformes de gestion, telles que PVE, Unraid, QunHui NAS, routing backend, etc. Bien que la plupart de ces systèmes prennent déjà en charge l'interface chinoise, l'expression anglaise originale est parfois plus précise, en particulier pour l'apprentissage, la mise au point, etc. Bien que la plupart de ces systèmes prennent déjà en charge l'interface chinoise, l'expression anglaise originale est parfois plus précise, en particulier pour l'apprentissage, le réglage [...]...