我的網路伺服器位於美國,可以使用遠端桌面連線、標準連接埠從我在加拿大的家中存取。
未經授權的人嘗試從許多不同的國家/地區登錄,有些人每天嘗試 10000 多次,直到最終放棄。
如果RDP端口改為非標準端口,這些人很可能會簡單地迭代端口,直到找到重新分配的RDP端口,然後繼續嘗試暴力破解密碼?
我對未知的恐懼是,要更改端口,我將通過遠端桌面連接來完成;安全嗎?
將自己鎖在門外有什麼風險?
另外,不是告訴 RDC 轉到“我的伺服器 IP 位址”,將來的訪問是否必須表示為“我的伺服器 IP 位址:新的 RDP 連接埠”?
答案1
if the RDP port is changed to a non-standard port, it is very likely that these people will simply iterate ports until they locate the re-assigned RDP port and then continue to try to brute force the password?- 是的,這很可能會發生。
My fear of the unknown is that to change the port it would be done by me via Remote Desktop Connection; is it safe?- 目前會話是安全的。更改預設偵聽連接埠需要重新啟動伺服器,因此在進行此變更後重新啟動伺服器之前,一切都會正常。
What is the risk of locking myself out?- 對於現有會話來說相當低。風險在於,在進行更改並重新啟動伺服器後,如果伺服器前面的網路防火牆僅允許連接到伺服器的預設端口,則可能會阻止您訪問伺服器。
Also, instead of telling RDC to go to "my server ip address", would future access have to be expressed as "my server ip address:new RDP port"?- 是的。
答案2
透過更改 RDP 連接埠失去對伺服器的存取權限的風險很小,但仍存在一些風險。
在更改 RDP 連接埠之前,請檢查伺服器後面的所有防火牆並確保新連接埠未被封鎖。
另外,請確保您可以在需要時獲得控制台存取權限(遠端操作、有權存取伺服器的朋友、遠端 IP KVM 等)。無論如何,這可能對任何伺服器都有好處。
要回答您的最後一個問題,是的,您每次都必須在 RDP 連線中指定連接埠號碼。
最後一點建議,即使您更改了 RDP 偵聽的連接埠號,不法分子仍然有可能建立連接。確保所有帳戶都有強密碼,並在可能的情況下停用管理員帳戶。
答案3
不要嘗試更改伺服器上的 RDP 連接埠。
不要指望更改連接埠號碼會自動使 RDP 安全。
伺服器前面一定有防火牆,可以控制進出伺服器的 RDP 流量。
請務必將防火牆設定為將非標準連接埠上的流量轉送至 RDP 標準連接埠 3389。據我所知,內建的 Windows 防火牆不會執行此操作,但其他防火牆會執行此操作。
請務必將防火牆設定為允許來自家庭系統的 RDP 連接埠上的流量,並禁止來自其他系統的 RDP。根據防火牆和其他選項,這可能表示為您的家庭系統取得靜態 IP 或設定動態 DNS 服務,或者可能表示根據您使用的已知 MAC 位址編寫防火牆規則。
為了避免將此問題直接提交給您的防火牆接口,您需要進行設置,以便您的防火牆只能透過 RDP 進行配置。即便如此,這應該可以降低將自己鎖在門外的風險。除了標準 RDP 連接埠之外,您還可以透過在防火牆上設定非標準連接埠轉送規則來完成,這樣您就可以安全地測試新規則。為您想要的連接埠編寫防火牆規則,測試它是否阻止來自隨機位置(例如圖書館)的訪問,但仍允許從家中進行訪問。然後在成功測試規則後阻止正常連接埠上的存取(反之亦然:使用非標準連接埠作為保護措施,直到在標準連接埠上測試規則為止)。
當然,您真正應該在這裡做的是設置到您的伺服器的 VPN 連接...但即使使用 VPN 連接,您也需要一個防火牆來控制訪問。
答案4
恕我直言,將 RDP 直接暴露到網路並不安全。正如已經提到的,我建議考慮使用 VPN。如果因為某些原因不使用 VPN。更改防火牆的 NAT 規則上的連接埠並設定阻止人們掃描連接埠的規則。