Beste praktijken voor het verbeteren van de beveiliging van Remote Desktop Services (poort 3389)

共计 2659 个字符，预计需要花费 7 分钟才能阅读完成。

Beste praktijken voor het verbeteren van de beveiliging van Remote Desktop Services (poort 3389)

Remote Desktop Protocol (RDP) is een veelgebruikte methode om servers te beheren en de standaardpoort is 3389. Hoewel dit gebruikers gemak biedt, is het ook een makkelijk doelwit voor aanvallers. Om servers effectief te beschermen tegen brute-force misbruik en andere cyberaanvallen, is het cruciaal om een reeks beveiligingsmaatregelen te nemen. In dit artikel wordt uitgelegd hoe de beveiliging van externe desktopservices kan worden verbeterd en worden specifieke stappen beschreven om de beveiligingsinstellingen te optimaliseren.

Waarom je de standaardpoort 3389 moet wijzigen

Veel hackers of malware vinden kwetsbare doelen door standaardpoorten zoals 3389 te scannen. Het blijven gebruiken van de standaardpoort verhoogt niet alleen de kans dat een server wordt gescand en aangevallen, maar kan ook bedreigingen zoals brute-force cracking gemakkelijker maken. Door de standaardpoort te wijzigen, kun je de kans dat je server wordt aangevallen door geautomatiseerde tools effectief verkleinen.

Stappen om de standaardpoort te wijzigen:

1. Open de Register-editor::
   • Typ in het dialoogvenster Uitvoeren regedit en druk op enter.
2. Navigeer naar het volgende pad::HKEY_LOCAL_MACHINE_Huidig_systeem_ControlSet_TerminalServer_WinStations_RDP-Tcp_PortNumber
3. Het poortnummer wijzigen::
   • zoeken Poortnummer om de waarde te veranderen van de standaard 3389 Wijzigen in een ander onbezet poortnummer (bijvoorbeeld:45678).
4. Firewallregels bijwerken::
   • Controleer of de firewall toegang heeft verleend tot het nieuwe poortnummer.
5. iets opnieuw in werking stellen::
   • Start de Remote Desktop Service of de hele server opnieuw op om de wijzigingen toe te passen.

Sterke wachtwoorden en accountbeheer

1. Gebruik sterke wachtwoorden

Sterke wachtwoorden zijn de eerste verdedigingslinie bij het beveiligen van servers. Zwakke wachtwoorden kunnen gemakkelijk worden gekraakt door brute force tools, wat kan leiden tot serverinbraak.

Sterke wachtwoordvereisten:

• Niet minder dan 12 tekens lang.
• Bevat hoofdletters, kleine letters, cijfers en speciale tekens.
• Vermijd het gebruik van woorden uit woordenboeken of inhoud met betrekking tot persoonlijke informatie (bijv. verjaardagen, namen, enz.).

2. Standaardaccounts uitschakelen

• De standaardinstelling van het systeem uitschakelen Beheerder account geen voorkeursdoelwit voor aanvallers wordt.
• Maak een nieuwe account met gelijkwaardige rechten maar een unieke naam.

3. Beperk het aantal aanmeldpogingen

• Configureer een limiet op het aantal mislukte aanmeldpogingen in Groepsbeleid om de account te vergrendelen of de aanmeldpogingen te vertragen als het ingestelde aantal wordt overschreden.
• Voorkomt dat aanvallers wachtwoorden kunnen kraken door talloze pogingen.

bescherming van de netwerklaag

1. Configureer firewallregels

• Beperk het bereik van IP-adressen die toegang krijgen tot de Remote Desktop-service met behulp van regels voor beveiligingsgroepen van Windows Firewall of Cloud Services.
• Alleen vaste IP-toegang vanuit het kantoornetwerk is bijvoorbeeld toegestaan.

2. Gebruik van port mapping

• Als je RDP gebruikt in een lokale omgeving, kan je port forwarding instellen via je router om externe toegang naar een niet-standaard interne poort te leiden.
• Dit verbetert niet alleen de beveiliging, maar optimaliseert ook de netwerkstructuur.

3. Verificatie op netwerkniveau (NLA) inschakelen

• Schakel authenticatie op netwerkniveau in bij de RDP-instellingen om ervoor te zorgen dat alleen geauthenticeerde gebruikers sessies op afstand kunnen starten.

Toevoeging van Multi-Factor Accreditatie (MFA)

Het inschakelen van dubbele authenticatie (2FA) voor inloggen op afstand is een van de meest effectieve beveiligingsmaatregelen die momenteel beschikbaar zijn. Zelfs als een aanvaller een gebruikersnaam en wachtwoord bemachtigt, kan hij of zij niet inloggen zonder een tweede authenticatiefactor, zoals een dynamische CAPTCHA.

Configuratiestappen:

1. Voeg MFA toe met een tool van derden zoals Duo Security of de ingebouwde verificatiefunctie van Windows.
2. Installeer en configureer de juiste clienttoepassing (zoals Google Authenticator of Microsoft Authenticator).

Beveiliging verbeteren met VPN's

Bind de RDP-service aan een intranet-IP om toegang te krijgen tot het externe bureaublad via een VPN-verbinding. De versleutelde tunnel van het VPN verbetert de beveiliging van verzonden gegevens aanzienlijk.

Aanbevelingen voor configuratie:

1. Installeer en configureer een VPN-server (bijv. OpenVPN, WireGuard).
2. Zorg ervoor dat gebruikers verbinding maken met het VPN voordat ze RDP-services op het interne netwerk gebruiken.
3. De VPN-service regelmatig bijwerken en onderhouden.

Hulpmiddelen voor logboekbewaking en -beveiliging

1. Controleer regelmatig het inloglogboek

• Controleer verdachte aanmeldingspogingen door regelmatig de aanmeldingslogboeken te controleren met Event Viewer.
• Bij frequente mislukte pogingen moet onmiddellijk actie worden ondernomen.

2. Installatie van tools voor inbraakpreventie

• Gebruik Fail2Ban of een vergelijkbare tool om kwaadaardige IP's automatisch te blokkeren door logs te analyseren.
• Werk met firewalls om verdachte bronnen dynamisch te blokkeren.

De implementatie van het beveiligingsbeleid samenvatten en opvolgen

Om de beveiliging van het externe bureaublad volledig te verbeteren, wordt aanbevolen om de volgende stapsgewijze implementatie te volgen:

1. Pas de standaardpoort aan om de kans op scannen te verkleinen.
2. Verbeter de accountbeveiliging door sterke wachtwoorden in te stellen en standaardaccounts uit te schakelen.
3. Configureer firewallregels of schakel VPN's in om alleen vertrouwde netwerktoegang toe te staan.
4. Voeg multi-factor authenticatie toe om een extra beveiligingslaag toe te voegen bij het inloggen.
5. Controleer regelmatig logboeken en gebruik beschermingstools om kwaadaardig gedrag te blokkeren.

Met de bovenstaande maatregelen zal je server een hoog beveiligingsniveau hebben en zich effectief kunnen verdedigen tegen de meest voorkomende netwerkaanvallen.

Ga eerst naar het register regedit

En als je een verbinding op afstand vanaf je eigen computer gebruikt, is het net zo belangrijk om aandacht te besteden aan de beveiliging van de verbinding op afstand en dan de

(HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp)

Of direct in de Edit - Find, PortNumber karakter, en vind dan de afgestemde tot 10 decimale wijzigen van hun eigen behoeften van de haven kan worden.

Natuurlijk is de laatste om de server opnieuw op te starten is ok. Standaard 3389 niet nodig om de poort toe te voegen kan worden, verander de andere poorten vergeet niet om een dubbele punt poortnummer toe te voegen om soepel in te loggen!

Zeg maar dag tegen complexe poortnummers: Cloudflare DDNS + TLS-certificaten + regelgebaseerd beleid voor veilige toegang op afstand met FlyingNiu NAS.

Youtube Video Tutorial Click to Enter In het vorige artikel hebben we Cloudflare DDNS met succes gebruikt om efficiënte dynamische domeinnaamtoegang te krijgen tot Flying Niu NAS, waarbij we volledig afscheid namen van de snelheidsbeperkingen van de gratis versie van FN Connect. Het snelheidsprobleem is opgelost [...]

NAS-server instellen SMB/NFS gedeeld mounten Windows/UNRAID-NAS gebruiken

Met de toenemende vraag naar gegevensopslag, kiezen steeds meer mensen en bedrijven voor NAS-servers (Network Attached Storage) om bestanden op te slaan en te delen.NAS-servers kunnen een huis, kantoor of klein bedrijf [...]

Eén UPS, meerdere NAS'en delen: Unraid + Santak TG-BOX 850 UPS Praktisch delen

In het vorige bericht hebben we het gehad over het belang van UPS voor NAS en hoe u de basisinstellingen van UPS kunt uitvoeren in Unraid. In feite heeft Unraid een nog krachtigere functie -- netserver-modus, wat betekent dat Un [...]

Immersive Translation: Tweetalige webpagevertaler voor alle platformen om te leren en tegelijkertijd te gebruiken.

In ons dagelijks gebruik van computers of mobiele telefoons, hebben we vaak toegang nodig tot verschillende webpagina's of beheerplatforms, zoals PVE, Unraid, QunHui NAS, routing backend, enz. Hoewel de meeste van deze systemen al een Chinese interface ondersteunen, is de originele Engelse taal soms nauwkeuriger, vooral voor leren, afstemmen, enzovoort. Hoewel de meeste van deze systemen al een Chinese interface ondersteunen, is de originele Engelse uitdrukking soms nauwkeuriger, vooral bij het leren, afstemmen [...]...