< 返回
        

          
如何通過(guò) IP 白名單限制遠(yuǎn)程桌面連接

          2025-04-01 00:49
                    作者:xiao gang
                    閱讀量:441
        

        

            





以下是針對(duì) Windows Server RDP 安全加固基于 IP 地址的訪問(wèn)控制策略的詳細(xì)配置指南,涵蓋原理、操作步驟及擴(kuò)展優(yōu)化建議:


1. 核心原理


通過(guò)限制 RDP(Remote Desktop Protocol,默認(rèn)端口 3389)的訪問(wèn)來(lái)源 IP,僅允許可信 IP 地址或 IP 段連接到服務(wù)器,降低以下風(fēng)險(xiǎn):


    

  • 

    暴力破解攻擊:阻止非法 IP 嘗試登錄。
    

    • 

  • 

    零日漏洞利用:縮小攻擊面,防止未授權(quán)訪問(wèn)。
    

    • 

  • 

    內(nèi)部橫向滲透:限制內(nèi)部網(wǎng)絡(luò)中的異常訪問(wèn)行為。
    

    • 




2. 配置方法


方法 1:通過(guò) Windows 防火墻(推薦)


步驟 1:創(chuàng)建入站規(guī)則


    

  1. 

    打開(kāi) Windows Defender 防火墻 → 高級(jí)安全設(shè)置。
    

    2. 

  2. 

    右鍵點(diǎn)擊 入站規(guī)則 → 新建規(guī)則 → 選擇 端口 → 協(xié)議類型選擇 TCP → 輸入端口 3389(若修改過(guò)默認(rèn)端口,需填入實(shí)際端口)。
    

    3. 

  3. 

    選擇 允許連接 → 勾選所有配置文件(域、專用、公用)。
    

    4. 



步驟 2:限制允許的 IP 地址范圍4. 在規(guī)則創(chuàng)建向?qū)У?nbsp;作用域 頁(yè)面:


    

  • 

    遠(yuǎn)程 IP 地址 → 選擇 下列 IP 地址 → 添加允許的 單個(gè) IP 或 IP 段(如 192.168.1.0/24)。
    

    • 

  • 

    示例:僅允許本地局域網(wǎng) 192.168.1.0/24 和特定公網(wǎng) IP 203.0.113.5。
    

    • 



步驟 3:命名規(guī)則并啟用5. 指定規(guī)則名稱(如 RDP_IP_Restrict)→ 完成配置。


驗(yàn)證規(guī)則:


    

  • 

    使用不在白名單中的 IP 嘗試 RDP 連接,應(yīng)顯示 “連接被拒絕” 或 “超時(shí)”。
    

    • 




方法 2:通過(guò)組策略(域環(huán)境適用)


    

  1. 

    打開(kāi) 組策略管理(gpmc.msc) → 編輯目標(biāo) GPO。
    

    2. 

  2. 

    導(dǎo)航至:計(jì)算機(jī)配置 → 策略 → Windows 設(shè)置 → 安全設(shè)置 → 高級(jí)安全 Windows Defender 防火墻 → 入站規(guī)則
    

    3. 

  3. 

    參照方法 1 創(chuàng)建規(guī)則,并指定允許的 IP 范圍。
    

    4. 

  4. 

    通過(guò) gpupdate /force 強(qiáng)制刷新策略。
    

    5. 




3. 擴(kuò)展安全加固建議


(1) 修改默認(rèn) RDP 端口


    

  • 

    通過(guò)注冊(cè)表修改端口(降低掃描器識(shí)別風(fēng)險(xiǎn)):
    



powershell

復(fù)制




    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "PortNumber" -Value 3390
    


    • 

  • 

    同步更新防火墻規(guī)則中的端口號(hào)。
    

    • 



(2) 啟用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證(NLA)


    

  • 

    強(qiáng)制要求客戶端支持 NLA(需 Windows 7+ 或支持 CredSSP 的客戶端):
    



powershell

復(fù)制




    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name "UserAuthentication" -Value 1
    


    • 



(3) 限制用戶權(quán)限


    

  • 

    在 本地安全策略 → 用戶權(quán)限分配 中,移除 “允許通過(guò)遠(yuǎn)程桌面服務(wù)登錄” 中的非必要用戶組(如 Users)。
    

    • 



(4) 日志監(jiān)控與告警


    

  • 

    啟用 Windows 事件日志(事件 ID 4625 記錄失敗登錄嘗試)。
    

    • 

  • 

    使用工具(如 ELK、Splunk)分析日志,設(shè)置閾值告警(如 5 分鐘內(nèi) 3 次失敗嘗試)。
    

    • 




4. 故障排查


    

  • 

    誤封鎖自身:確保規(guī)則中包含管理員維護(hù) IP,或保留本地控制臺(tái)訪問(wèn)權(quán)限。
    

    • 

  • 

    規(guī)則沖突:檢查防火墻規(guī)則優(yōu)先級(jí)(規(guī)則按順序匹配,需確保限制規(guī)則未被其他規(guī)則覆蓋)。
    

    • 

  • 

    端口沖突:確認(rèn) RDP 端口未被其他服務(wù)占用(netstat -ano | findstr :3389)。
    

    • 




5. 總結(jié)


通過(guò) IP 地址訪問(wèn)控制結(jié)合端口修改、NLA 認(rèn)證和日志監(jiān)控,可顯著提升 RDP 安全性。建議定期審計(jì) IP 白名單,并在變更網(wǎng)絡(luò)環(huán)境時(shí)提前更新規(guī)則,避免服務(wù)中斷。對(duì)于高安全需求場(chǎng)景,可進(jìn)一步部署 VPN 或跳板機(jī)作為前置訪問(wèn)層。


            
        

        
        
      

    

        

      




    


 

 

  聯(lián)系我們
  

    


    
  

  



  返回頂部
  
 
    






  


主站蜘蛛池模板:
亚洲AV噜噜一区二区三区|
日韩精品电影一区亚洲|
日韩国产免费一区二区三区|
中文字幕一区二区三区永久
|
日韩AV无码一区二区三区不卡
|
国产一区二区三区不卡在线观看|
精品亚洲福利一区二区|
国模视频一区二区|
亚洲Av无码一区二区二三区|
无码精品尤物一区二区三区|
无码精品尤物一区二区三区|
国产女人乱人伦精品一区二区
|
国产在线无码一区二区三区视频|
久久99精品波多结衣一区|
精品不卡一区二区|
国产在线一区二区三区av|
中文字幕无码一区二区免费
|
精品人妻少妇一区二区三区在线|
国产在线无码一区二区三区视频|
天堂va在线高清一区|
日本一区二区三区精品国产|
日韩电影一区二区|
色一情一乱一区二区三区啪啪高|
风流老熟女一区二区三区|
亚洲AV无码一区二区三区DV|
亚无码乱人伦一区二区|
久久se精品一区二区影院|
在线日产精品一区|
中文字幕一区二区三区在线播放|
精品日韩亚洲AV无码一区二区三区|
97人妻无码一区二区精品免费|
八戒久久精品一区二区三区|
国产精品视频一区二区三区四|
国模吧一区二区三区精品视频|
日韩精品无码视频一区二区蜜桃
|
婷婷亚洲综合一区二区|
国精产品一区二区三区糖心|
在线视频精品一区|
91久久精品午夜一区二区|
一区二区高清在线|
色婷婷亚洲一区二区三区|