有一天,我查看了我们客户的事件日志,原因是他们的 RDP 连接期间性能下降。我查看的事件日志是用户从家里连接到的办公室 PC 的事件日志。设备没有问题,但是,我发现大量 IP 地址与 RDP 断开连接,这些 IP 地址不属于办公室拥有的任何机器。我们正在安装 Sonicwall TZ300 后创建自定义端口,而不是使用标准的开放端口 3389 进行 RDP。我想考虑的另一项规定是实施帐户锁定策略,但我很好奇这是否会锁定原始用户。希望这足够有用。
答案1
是的,因为这是针对每个用户应用的,如果达到您设置的锁定阈值,帐户将被锁定。
顺便说一句,您应该转向其他更安全的 RDP 方式。更改默认 RDP 端口只是通过隐蔽性来实现安全性(假设这确实是您的目标)。
答案2
首先:帐户锁定策略仅适用于为用户名提供的基于字符串的值。如果其他连接尝试提供相同的用户名,那么是的,这将有效地为该用户帐户创建拒绝服务。此外,假设它不是终端服务许可的机器,那么服务器将仅支持 2 个同时连接,然后才会踢出任何其他用户 - 无论是合法用户还是其他用户。
第二:如果此设备直接连接到互联网,这将是一个巨大的安全隐患。您很可能遭到暴力攻击,试图找到用户名/密码组合来闯入系统。您可以通过查看安全日志来了解正在提供的用户名。如果用户名是随机的,那么您很可能受到攻击。
第三:虽然@happy_soil 的观点是正确的,更改 RDP 端口只能阻止最新手的攻击者,但问题在于您拥有直接连接到互联网的任何服务器。您需要转向更安全的远程连接机制(例如 VPN)。一旦远程用户连接,他们就可以通过加密的 IPSEC 隧道访问网络以获得网络访问权限。然而,即使这样也有缺陷(用户的家庭计算机感染了恶意软件并连接到公司 VPN 并从家中感染公司)——但这肯定比直接将服务器连接到互联网要好。