リモートデスクトップサービス（ポート3389）のセキュリティを向上させるベストプラクティス

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

リモートデスクトップサービス（ポート3389）のセキュリティ向上のためのベストプラクティス

リモート・デスクトップ・プロトコル（RDP）は、サーバーを管理する一般的な方法で、そのデフォルト・ポートは 3389.これはユーザーにとって便利である反面、攻撃者にとっては格好の標的でもある。ブルートフォースの乱用やその他のサイバー攻撃からサーバを効果的に保護するには、一連のセキュリティ対策を採用することが極めて重要です。この記事では、リモートデスクトップサービスのセキュリティを強化する方法を詳しく説明し、セキュリティ設定を最適化するための具体的な手順を紹介します。

デフォルトのポート3389を変更する必要がある理由

多くのハッカーやマルウェアは、3389などのデフォルト・ポートをスキャンして脆弱なターゲットを探します。デフォルトのポートを使い続けると、サーバーがスキャンされ攻撃される可能性が高まるだけでなく、ブルートフォース（総当たり）・クラッキングなどの脅威が容易になる可能性があります。デフォルトのポートを変更することで、サーバーが自動化ツールに攻撃される可能性を効果的に減らすことができます。

デフォルトのポートを変更する手順：

1. レジストリエディタを開く::
   • ファイル名を指定して実行」ダイアログボックスで 再編集 と入力してエンターキーを押す。
2. 次のパスに移動する。::HKEY_LOCAL_MACHINE
3. ポート番号の変更::
   • 見つける ポート番号 キーの値をデフォルトの 3389 他の空いているポート番号に変更する（例えば：45678).
4. ファイアウォールルールの更新::
   • ファイアウォールが新しいポート番号へのアクセスを許可していることを確認する。
5. 再開::
   • リモートデスクトップサービスまたはサーバー全体を再起動して、変更を適用します。

強固なパスワードとアカウント管理

1.強力なパスワードの使用

強力なパスワードは、サーバーを保護するための第一の防御線である。弱いパスワードはブルートフォースツールによって簡単に破られ、サーバーへの侵入につながります。

強力なパスワードの要件：

• 12文字以上。
• 大文字、小文字、数字、特殊文字を含む。
• 辞書的な単語や個人情報に関連する内容（誕生日、名前など）の使用は避ける。

2.デフォルトアカウントを無効にする

• システムのデフォルトを無効にする 管理者 アカウントが攻撃者の格好の標的になるのを防ぐ。
• 同等の権限を持ち、一意の名前を持つ新しいアカウントを作成する。

3.ログイン試行回数の制限

• グループポリシーでログイン失敗回数の制限を設定し、設定回数を超えるとアカウントをロックするか、ログイン試行を遅延させる。
• 攻撃者が何度もパスワードをブルートフォースで破ることを防ぎます。

ネットワーク層保護

1.ファイアウォールルールを設定する

• Windowsファイアウォールまたはクラウドサービスが提供するセキュリティグループルールを使用して、リモートデスクトップサービスへのアクセスを許可するIPアドレスの範囲を制限します。
• 例えば、オフィスネットワークからの固定IPアクセスのみが許可される。

2.ポートマッピングの使用

• ローカル環境でRDPを使用している場合は、ルーター経由でポート転送を設定し、外部からのアクセスをデフォルトの内部ポート以外に向けることができる。
• これはセキュリティを向上させるだけでなく、ネットワーク構造を最適化する。

3.ネットワークレベル認証（NLA）の有効化

• RDP設定でネットワークレベル認証を有効にし、認証されたユーザーのみがリモートセッションを開始できるようにする。

多要素認定（MFA）の追加

リモートログインで二重認証（2FA）を有効にすることは、現在利用可能な最も効果的なセキュリティ対策の1つです。攻撃者がユーザー名とパスワードを入手したとしても、ダイナミックCAPTCHAのような2つ目の認証要素がなければログインすることはできません。

設定ステップ：

1. Duo SecurityなどのサードパーティツールやWindowsの内蔵認証機能を使ってMFAを追加する。
2. 適切なクライアント アプリケーション（Google Authenticator や Microsoft Authenticator など）をインストールし、設定します。

VPNによるセキュリティ強化

RDPサービスをイントラネットIPにバインドして、VPN接続経由でリモートデスクトップにアクセスする。VPNの暗号化トンネルは、送信データのセキュリティを大幅に強化する。

コンフィギュレーションの推奨：

1. VPNサーバー（OpenVPN、WireGuardなど）をインストールして設定する。
2. 内部ネットワーク上のRDPサービスにアクセスする前に、ユーザーがVPNに接続するようにする。
3. VPNサービスの定期的なアップデートとメンテナンス。

ログ監視・保護ツール

1.定期的にログインログを確認する

• イベントビューアを使用してログインログを定期的にチェックし、不審なログイン試行を監視する。
• 度重なる失敗には、早急な対応が必要である。

2.侵入防止ツールのインストール

• Fail2Banまたは同様のツールを導入し、ログを分析して悪意のあるIPを自動的にブロックする。
• ファイアウォールと連携し、不審なソースを動的にブロックする。

セキュリティポリシーの実施を要約し、順序付ける

リモートデスクトップセキュリティを完全に強化するために、以下のステップバイステップの実施に従うことをお勧めします：

1. デフォルトのポートを変更し、スキャンされる可能性を減らす。
2. 強力なパスワードを設定し、デフォルトのアカウントを無効にすることで、アカウントのセキュリティを強化します。
3. ファイアウォールルールを設定するか、VPNを有効にして、信頼できるネットワークアクセスのみを許可する。
4. 多要素認証を追加して、ログイン時の保護レイヤーを追加する。
5. 定期的にログを監視し、保護ツールを使用して悪意のある動作をブロックする。

以上の対策により、サーバーは高いレベルのセキュリティを持ち、一般的なネットワーク攻撃のほとんどを効果的に防御することができる。

まず、レジストリ regedit に入る。

また、自分のコンピューターからリモート接続を使用する場合も同様に、リモート接続のセキュリティに注意を払い、その上で

(HKEY_LOCAL_MACHINE）。

または直接編集 - 検索、ポート番号の文字で、その後、ポートの独自のニーズを変更することができます10進数に調整された見つける。

もちろん、最後にサーバーを再起動しても大丈夫です。デフォルトの3389はポートを追加する必要はありませんが、他のポートを変更する場合は、スムーズにログインするためにポート番号をコロンで追加することを忘れないでください！

CloudflareのDDNS + TLS証明書 + ルールベースのポリシーで、FlyingNiuのNASに安全にリモートアクセス。

Youtube Video Tutorial Click to Enter 前回の記事では、Cloudflare DDNSを使ってFlying Niu NASへの効率的な動的ドメイン名アクセスを実現し、FN Connect無料版の速度制限に完全に別れを告げることに成功しました。速度のボトルネックは解決されました。

NASサーバーのセットアップ SMB/NFS共有マウント Windows/UNRAID-NASの使用法

NASサーバーは、家庭やオフィス、中小企業に一連の [...] 続きを読む

1台のUPSで複数のNASを共有：Unraid + Santak TG-BOX 850 UPS実用的な共有

前回の投稿では、NASにとってのUPSの重要性と、Unraidで基本的なUPSのセットアップを行う方法についてお話しました。実はUnraidにはさらに強力な機能があります -- ネットサーバーモードです。

没入型翻訳: すべてのプラットフォーム用のバイリンガルウェブページ翻訳者。

コンピュータや携帯電話を日常的に使用する中で、PVE、Unraid、QunHui NAS、ルーティングバックエンドなど、様々なウェブページや管理プラットフォームにアクセスする必要があります。これらのシステムのほとんどはすでに中国語のインターフェイスをサポートしていますが、特に学習、チューニングなどでは、元の英語の表現がより正確であることがあります [...]...