我的网络服务器位于美国,我可以从加拿大的家里使用远程桌面连接和标准端口进行访问。
未经授权的人员试图从许多不同的国家登录,有些人每天尝试 10,000 多次,直到最终放弃。
如果将 RDP 端口更改为非标准端口,那么这些人很可能会简单地迭代端口,直到找到重新分配的 RDP 端口,然后继续尝试暴力破解密码?
我担心的是,更改端口需要通过远程桌面连接来完成;这样安全吗?
将自己锁在门外的风险是什么?
此外,将来的访问是否必须表示为“我的服务器 ip 地址:新的 RDP 端口”,而不是告诉 RDC 转到“我的服务器 ip 地址”?
答案1
if the RDP port is changed to a non-standard port, it is very likely that these people will simply iterate ports until they locate the re-assigned RDP port and then continue to try to brute force the password?- 是的,这有可能发生。
My fear of the unknown is that to change the port it would be done by me via Remote Desktop Connection; is it safe?- 对于当前会话而言,这是安全的。更改默认监听端口需要重新启动服务器,因此在进行此更改后重新启动服务器之前,您都不会出现问题。
What is the risk of locking myself out?- 对于现有会话来说相当低。风险在于,如果服务器前面有网络防火墙,只允许连接到服务器的默认端口,则在进行更改并重新启动服务器后,您可能无法访问服务器。
Also, instead of telling RDC to go to "my server ip address", would future access have to be expressed as "my server ip address:new RDP port"?- 是的。
答案2
通过更改 RDP 端口而失去对服务器的访问权限的风险很小,但仍然存在。
在更改 RDP 端口之前,请检查服务器后面的任何防火墙,并确保新端口没有被阻止。
此外,请确保您可以在需要时获得控制台访问权限(远程人员、可以访问服务器的朋友、远程 IP KVM 等)。无论如何,这对任何服务器来说可能都是有益的。
回答您的最后一个问题,是的,您每次都必须在 RDP 连接中指定端口号。
最后一条建议,即使你更改了 RDP 监听的端口号,恶意攻击者仍然有可能建立连接。确保所有帐户都设置了强密码,并尽可能禁用管理员帐户。
答案3
不要尝试更改服务器上的 RDP 端口。
不要指望改变端口号就能自动使 RDP 变得安全。
在您的服务器前面确实有一个防火墙,可以控制往返于您的服务器的 RDP 流量。
请将防火墙设置为将非标准端口上的流量转发到 RDP 标准端口 3389。我将在下面解释原因。据我所知,内置的 Windows 防火墙不会这样做,但其他防火墙会这样做。
请将防火墙设置为允许来自家庭系统的 RDP 端口上的流量,并禁止其他所有系统的 RDP。根据防火墙和其他选项,这可能意味着为您的家庭系统获取静态 IP 或设置动态 DNS 服务,或者可能意味着根据您使用的已知 MAC 地址编写防火墙规则。
为了避免将这个问题直接推到防火墙接口上,您需要将其设置为只能通过 RDP 配置防火墙。即便如此,这也应该可以降低将自己锁定的风险。您可以通过在防火墙上除了标准 RDP 端口之外还配置非标准端口转发规则来实现这一点,这样您就可以以安全的方式测试新规则。为您想要的端口编写防火墙规则,测试它是否阻止来自随机位置(如图书馆)的访问,但仍允许从家里访问。然后在成功测试规则后阻止对正常端口的访问(反之亦然:使用非标准端口作为保护措施,直到您在标准端口上测试了规则)。
当然,您真正应该做的是建立到您服务器的 VPN 连接……但即使有了 VPN 连接,您也需要防火墙控制访问。
答案4
我认为将 RDP 直接暴露在互联网上并不安全。我建议考虑使用前面提到的 VPN。如果出于某些原因不使用 VPN。请更改防火墙的 NAT 规则上的端口并设置阻止人们扫描端口的规则。