日度归档:2023年12月6日

公网Windows主机的安全加固,白名单IP方式访问Windows远程桌面 2023-12-06

前缀、文档修改记录

2023-12-06 初始化编辑此文档

章节1、需求描述

买了一台海外的VPS,配置足够安装Windows系统,商家也提供Windows Server 2019的模板,于是就运行了一个WindowsServer系统,但是,会不断面临远程桌面连接的RDP密码爆破,安全加固也就是一个必然的需要。

章节2、措施

提醒一下,即便修改远程桌面的端口,也还是会被扫描及暴力尝试密码的。故而,修改远程桌面的端口,修改默认的用户名,这样的措施,不足以对安全进行补充。

2.1、屏蔽端口入站

查看Windows系统内,用netstat -an 命令,查看有哪些监听的端口,屏蔽它的入站

netstat -an 

常规来说,需要增加端口屏蔽,一个是TCP的,一个是UDP的,我这里是一台美国Windows服务器,不用打印机这样的功能,基本上,初始的监听端口,除了3389远程桌面,都可以屏蔽入站

防火墙 入站 TCP BLOCK 135,137,138,139,445,5357,5985,47001,49664,49665,49666,49667,49668,49669,49683

防火墙 入站 UDP BLOCK 
123,135,137,138,139,445,3702,5353,5355,5985,61476

2.2、屏蔽入站IPv6相关

因为这台服务器仅有IPv4公网地址,无IPv6公网地址,我这里,干脆就把防火墙/入站列表里,涉及到IPv6的,全部禁用了。

2.3、关闭”文件和打印机共享”

网络,网络连接的属性里,关闭文件和打印机共享,关闭IPv6地址,这两个功能。

2.4、增加3389防火墙的访问白名单

通过命令的方式可以批量添加白名单的IP地址,比在防火墙规则里,一个个添加,要方便很多,修改name参数为你的远程桌面连接的名字,修改remoteip的值为一系列白名单的IP地址,这样的设置,将仅允许你通过这些白名单IP访问WindowsServer的远程桌面端口,完成3389端口的加固、安全防护。

netsh advfirewall firewall set rule name="Remote Desktop - User Mode (UDP-In)" new remoteip=103.13.1.204,49.6.210.150,222.5.118.32
netsh advfirewall firewall set rule name="Remote Desktop - User Mode (TCP-In)" new remoteip=103.13.1.204,49.6.210.150,222.5.118.32

章节3、操作演示

附录1、

博客内,所有教程为手打原创教程,如果技术教程对您有所帮助,欢迎打赏作者

对于博客内已提及的专业知识,如果需要技术指导,欢迎联系我,仅需支付工时费

Twitter: Dasmz

Youtube: @DasmzStudio

Telegram: @Dasmz

Donate
云乞讨