Làm cách nào để tắt cổng 3389 mà không làm mất RDP?

Question

Quét an ninh công ty của máy chủ web trực tiếp của chúng tôi là (chính xác) báo cáo 3389 (cổng tiêu chuẩn để truy cập máy tính từ xa) khi mở và yêu cầu chúng tôi đóng nó.

Rất tiếc, máy chủ thực sự ở xa và chúng tôi cần quyền truy cập RDP.

Tương tự như vậy, cổng 21 cho FTP.

Chúng tôi có mật khẩu mạnh tại chỗ cho cả quyền truy cập FTP và RDP.

Có giải pháp nào không? Tôi có nên chỉ định cấu hình các dịch vụ để chạy trên các cổng khác nhau không? (Có vẻ như không có gì hơn an ninh thông qua tối tăm)

Answer 1

Tôi đã viết bài viết về vấn đề này ở đây với rất nhiều bức ảnh:

http://www.iteezy.com/change-rdp-3389-port-on-windows-2008-server/qc/10098

Tóm tắt:

1. Thay đổi registry tại HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ TerminalServer \ WinStations \ RDP -Tcp \ PortNumber từ 3389 đến số cổng của bạn

2. Cho phép số cổng của bạn trong Windows 2008 Firewa ll (và chỉ định phạm vi địa chỉ IP có thể truy cập máy chủ thông qua RDP - đây là tùy chọn thực hành bảo mật tốt).

3. Khởi động lại dịch vụ RDP hoặc khởi động lại máy chủ

Answer 2

Có một vài tùy chọn ...

1) Khối cổng 3389 chỉ từ quét an ninh dịch vụ/phần mềm, để đánh lừa các phần mềm vào suy nghĩ rằng cổng 3389 được đóng lại, mặc dù nó thực sự không phải. :) (Có lẽ thực sự không phải là ý tưởng hay trong hầu hết các trường hợp)

2) Yêu cầu người dùng RDP kết nối bằng VPN. Điều này có thể là một rắc rối, nhưng sẽ cải thiện an ninh, và có lẽ làm cho máy quét bảo mật của bạn hạnh phúc.

Tôi không biết nhiều về giao thức RDP, nhưng FTP (trừ khi bạn đang sử dụng FTPS) gửi mật khẩu trong văn bản rõ ràng, vì vậy không quan trọng mật khẩu của bạn "mạnh" như thế nào - bạn đang gửi chúng hiển thị rõ ràng với bất kỳ ai tìm thấy kết nối Internet của bạn. Việc yêu cầu kết nối FTP chỉ đến từ các máy kết nối VPN cũng sẽ giải quyết được vấn đề này.

Answer 3

Từ góc nhìn của một người quản lý kiểm toán an ninh cho các tập đoàn toàn cầu - bạn có một vài lựa chọn, nhưng trước tiên:

Giáo dục quản lý cấp cao của bạn về những rủi ro của RDP và FTP - nó phải được cuộc gọi của họ cho dù bạn giữ sử dụng chúng và chấp nhận rủi ro, giảm thiểu rủi ro với các điều khiển bảo mật thêm, hoặc bạn thay thế chúng với một cái gì đó khác hoàn toàn

Sau đó lựa chọn của bạn là:

• Nâng cao một ngoại lệ trên Sổ đăng ký rủi ro - quản lý cấp cao chấp nhận nó
• Theo @Flimzy - chạy VPN đến các trang web từ xa của bạn, bạn có thể tiếp tục sử dụng FTP, RDP, bất kỳ thứ gì (được biết là có vấn đề bảo mật) vì bạn cung cấp một lớp bảo mật mạnh mẽ (VPN)
• Thay RDP và FTP với các cơ chế kết nối an toàn hơn

tôi chắc chắn sẽ không đi xuống con đường cố gắng để đánh lừa kiểm toán an ninh - tất cả điều đó không được quản lý cấp cao thời gian tạm lắng vào suy nghĩ đó không có vấn đề gì, và có thể trở lại để cắn bạn theo nhiều cách tốn kém, có thể bao gồm cả trách nhiệm cá nhân!

Answer 4

Nếu nó phù hợp với nhu cầu của bạn, bạn cũng có thể hạn chế quyền truy cập vào RDP-Port chỉ với một vài địa chỉ IP nguồn "an toàn". Điều này có thể được thực hiện với hầu hết các tường lửa phần mềm, bao gồm cả cửa sổ dựng sẵn fw.