Migliori pratiche per migliorare la sicurezza dei servizi desktop remoti (porta 3389)

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

Migliori pratiche per migliorare la sicurezza dei servizi desktop remoti (porta 3389)

Il Remote Desktop Protocol (RDP) è un metodo comune per la gestione dei server e la sua porta predefinita è 3389. Se da un lato questo rappresenta una comodità per gli utenti, dall'altro è un facile bersaglio per gli aggressori. Per proteggere efficacemente i server dall'abuso di forza bruta e da altri attacchi informatici, è fondamentale adottare una serie di misure di sicurezza. Questo articolo spiega come migliorare la sicurezza dei servizi di desktop remoto e fornisce passaggi specifici per ottimizzare le impostazioni di sicurezza.

Perché è necessario modificare la porta predefinita 3389

Molti hacker o malware trovano bersagli vulnerabili eseguendo la scansione delle porte predefinite, come la 3389. Continuare a utilizzare la porta predefinita non solo aumenta la probabilità che un server venga scansionato e attaccato, ma può anche rendere più facili minacce come il brute force cracking. Modificando la porta predefinita, è possibile ridurre efficacemente le possibilità che il server venga attaccato da strumenti automatici.

Passi per modificare la porta predefinita:

1. Aprire l'Editor del Registro di sistema::
   • Nella finestra di dialogo Esegui, digitare regedit e premere invio.
2. Passare al seguente percorso::HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
3. Modificare il numero di porta::
   • individuare Numero di porta cambiando il suo valore da quello predefinito 3389 Modificare in un altro numero di porta non occupato (ad esempio:45678).
4. Aggiornare le regole del firewall::
   • Assicurarsi che il firewall abbia consentito l'accesso al nuovo numero di porta.
5. riavviare qcs.::
   • Riavviare il Servizio desktop remoto o l'intero server per applicare le modifiche.

Password forti e gestione degli account

1. Utilizzo di password forti

Le password forti sono la prima linea di difesa per la protezione dei server. Le password deboli vengono facilmente violate da strumenti di forza bruta, che possono portare all'intrusione nei server.

Requisiti di password forti:

• Lunghezza non inferiore a 12 caratteri.
• Contiene lettere maiuscole e minuscole, numeri e caratteri speciali.
• Evitare l'uso di parole del dizionario o di contenuti relativi a informazioni personali (ad esempio, compleanni, nomi, ecc.).

2. Disabilitare gli account predefiniti

• Disattivare l'impostazione predefinita del sistema Amministratore conto di diventare un bersaglio privilegiato per gli aggressori.
• Creare un nuovo account con autorizzazioni equivalenti ma con un nome unico.

3. Limitare il numero di tentativi di accesso

• Configurare un limite al numero di tentativi di accesso falliti in Criteri di gruppo per bloccare l'account o ritardare i tentativi di accesso dopo il superamento del numero impostato.
• Impedisce agli aggressori di forzare brutalmente le password con numerosi tentativi.

protezione del livello di rete

1. Configurare le regole del firewall

• Limitare l'intervallo di indirizzi IP a cui è consentito l'accesso al servizio Desktop remoto tramite le regole del gruppo di sicurezza fornite da Windows Firewall o Servizi Cloud.
• Ad esempio, è consentito solo l'accesso IP fisso dalla rete dell'ufficio.

2. Utilizzo della mappatura delle porte

• Se si utilizza RDP in un ambiente locale, è possibile impostare il port forwarding attraverso il router per indirizzare l'accesso esterno a una porta interna non predefinita.
• Questo non solo migliora la sicurezza, ma ottimizza anche la struttura della rete.

3. Abilitazione dell'autenticazione a livello di rete (NLA)

• Abilitare l'autenticazione a livello di rete nelle impostazioni di RDP per garantire che solo gli utenti autenticati possano avviare sessioni remote.

Aggiunta dell'accreditamento multifattoriale (MFA)

L'abilitazione della doppia autenticazione (2FA) per i login remoti è una delle misure di sicurezza più efficaci oggi disponibili. Anche se un utente malintenzionato riesce a ottenere un nome utente e una password, non potrà comunque accedere senza un secondo fattore di autenticazione, come ad esempio un CAPTCHA dinamico.

Fasi di configurazione:

1. Aggiungete l'MFA utilizzando uno strumento di terze parti come Duo Security o la funzione di autenticazione integrata di Windows.
2. Installare e configurare l'applicazione client appropriata (come Google Authenticator o Microsoft Authenticator).

Migliorare la sicurezza con le VPN

Legare il servizio RDP a un IP intranet per accedere al desktop remoto tramite una connessione VPN. il tunnel crittografato della VPN migliora notevolmente la sicurezza dei dati trasmessi.

Raccomandazioni per la configurazione:

1. Installare e configurare un server VPN (ad esempio, OpenVPN, WireGuard).
2. Assicuratevi che gli utenti si connettano alla VPN prima di accedere ai servizi RDP sulla rete interna.
3. Aggiornare e mantenere regolarmente il servizio VPN.

Strumenti di monitoraggio e protezione dei registri

1. Controllare regolarmente il registro di accesso

• Monitorare i tentativi di accesso sospetti controllando regolarmente i registri di accesso tramite Event Viewer.
• In caso di frequenti tentativi falliti, è necessario prendere provvedimenti immediati.

2. Installazione di strumenti di prevenzione delle intrusioni

• Implementare Fail2Ban o uno strumento simile per bloccare automaticamente gli IP dannosi analizzando i log.
• Lavorare con i firewall per bloccare dinamicamente le fonti sospette.

Riassumere e sequenziare l'implementazione della politica di sicurezza.

Per migliorare completamente la sicurezza del desktop remoto, si consiglia di seguire la seguente implementazione passo dopo passo:

1. Modificare la porta predefinita per ridurre la possibilità di essere scansionati.
2. Migliorate la sicurezza degli account impostando password forti e disabilitando gli account predefiniti.
3. Configurare le regole del firewall o abilitare le VPN per consentire solo l'accesso alla rete fidata.
4. Aggiungete l'autenticazione a più fattori per aggiungere un ulteriore livello di protezione per l'accesso.
5. Monitorare regolarmente i log e utilizzare gli strumenti di protezione per bloccare i comportamenti dannosi.

Con le misure sopra descritte, il vostro server avrà un elevato livello di sicurezza e sarà in grado di difendersi efficacemente dagli attacchi di rete più comuni.

Per prima cosa, entrare nel registro di sistema regedit

E se si utilizza una connessione remota dal proprio computer, è altrettanto importante prestare attenzione alla sicurezza della connessione remota e quindi trovare la soluzione più adatta.

(HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp)

Oppure direttamente in Modifica - Trova, carattere PortNumber, e quindi trovare il sintonizzato a 10 decimali modificare le proprie esigenze della porta può essere.

Naturalmente l'ultimo riavvio del server va bene. Per impostazione predefinita, non è necessario aggiungere la porta 3389; per modificare le altre porte, ricordarsi di aggiungere un numero di porta con i due punti per accedere senza problemi!

Dite addio ai numeri di porta complessi: Cloudflare DDNS + certificati TLS + criteri basati su regole per un accesso remoto sicuro con FlyingNiu NAS.

Video tutorial di Youtube Clicca per entrare Nell'articolo precedente, abbiamo utilizzato con successo Cloudflare DDNS per ottenere un efficiente accesso dinamico ai nomi di dominio del NAS Flying Niu, dicendo completamente addio alle limitazioni di velocità della versione gratuita di FN Connect. Il collo di bottiglia della velocità è stato risolto [...]

Impostazione del server NAS Montaggio condiviso SMB/NFS Utilizzo di Windows/UNRAID-NAS

Con la crescente domanda di archiviazione dei dati, sempre più persone e aziende scelgono i server NAS (Network Attached Storage) per archiviare e condividere i file.I server NAS possono fornire a una casa, un ufficio o una piccola azienda la possibilità di impostare [...]

Un UPS, condivisione di più NAS: condivisione pratica di Unraid + Santak TG-BOX 850 UPS

Nel post precedente abbiamo parlato dell'importanza dei gruppi di continuità per i NAS e di come eseguire l'impostazione di base dei gruppi di continuità in Unraid. In realtà, Unraid ha una funzione ancora più potente: la modalità netserver, che consente a Unraid di [...]

Traduzione immersiva: traduttore bilingue di pagine web per tutte le piattaforme, da imparare e usare allo stesso tempo.

Nell'uso quotidiano del computer o del telefono cellulare, abbiamo spesso bisogno di accedere a varie pagine web o piattaforme di gestione, come PVE, Unraid, QunHui NAS, backend di routing, ecc. Anche se la maggior parte di questi sistemi supporta già l'interfaccia cinese, a volte l'espressione originale inglese è più accurata, soprattutto per l'apprendimento, la messa a punto e così via. Sebbene la maggior parte di questi sistemi supporti già l'interfaccia cinese, a volte l'espressione originale inglese è più accurata, soprattutto per l'apprendimento, la messa a punto [...]...