前缀、文档修改记录

2023-12-06 初始化编辑此文档

章节1、需求描述

买了一台海外的VPS，配置足够安装Windows系统，商家也提供Windows Server 2019的模板，于是就运行了一个WindowsServer系统，但是，会不断面临远程桌面连接的RDP密码爆破，安全加固也就是一个必然的需要。

章节2、措施

提醒一下，即便修改远程桌面的端口，也还是会被扫描及暴力尝试密码的。故而，修改远程桌面的端口，修改默认的用户名，这样的措施，不足以对安全进行补充。

2.1、屏蔽端口入站

查看Windows系统内，用netstat -an 命令，查看有哪些监听的端口，屏蔽它的入站

netstat -an 

常规来说，需要增加端口屏蔽，一个是TCP的，一个是UDP的，我这里是一台美国Windows服务器，不用打印机这样的功能，基本上，初始的监听端口，除了3389远程桌面，都可以屏蔽入站

防火墙 入站 TCP BLOCK 135,137,138,139,445,5357,5985,47001,49664,49665,49666,49667,49668,49669,49683

防火墙 入站 UDP BLOCK 
123,135,137,138,139,445,3702,5353,5355,5985,61476

2.2、屏蔽入站IPv6相关

因为这台服务器仅有IPv4公网地址，无IPv6公网地址，我这里，干脆就把防火墙/入站列表里，涉及到IPv6的，全部禁用了。

2.3、关闭”文件和打印机共享”

网络，网络连接的属性里，关闭文件和打印机共享，关闭IPv6地址，这两个功能。

2.4、增加3389防火墙的访问白名单

通过命令的方式可以批量添加白名单的IP地址，比在防火墙规则里，一个个添加，要方便很多，修改name参数为你的远程桌面连接的名字，修改remoteip的值为一系列白名单的IP地址，这样的设置，将仅允许你通过这些白名单IP访问WindowsServer的远程桌面端口，完成3389端口的加固、安全防护。

netsh advfirewall firewall set rule name="Remote Desktop - User Mode (UDP-In)" new remoteip=103.13.1.204,49.6.210.150,222.5.118.32
netsh advfirewall firewall set rule name="Remote Desktop - User Mode (TCP-In)" new remoteip=103.13.1.204,49.6.210.150,222.5.118.32

章节3、操作演示

附录1、

博客内，所有教程为手打原创教程，如果技术教程对您有所帮助，欢迎打赏作者

对于博客内已提及的专业知识，如果需要技术指导，欢迎联系我，仅需支付工时费

Twitter: Dasmz

Youtube: @DasmzStudio

Telegram: @Dasmz