Как отключить порт 3389, не теряя RDP?
Корпоративная проверка безопасности нашего живого веб-сервера (правильно) сообщает о том, что 3389 (стандартный порт для доступа к удаленному рабочему столу) открыт, и требует, чтобы мы его закрыли.
К сожалению, сервер на самом деле удален, и нам нужен доступ RDP.
Аналогично, порт 21 для FTP.
У нас есть надежные пароли для доступа по FTP и RDP.
Есть ли решение? Должен ли я просто настроить службы для работы на разных портах? (кажется, не более чем безопасность через неизвестность)
4 ответа
Я написал статью об этом здесь с большим количеством фотографий:
http://www.iteezy.com/change-rdp-3389-port-on-windows-2008-server/qc/10098
Резюме:
Измените реестр в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber с 3389 на ваш номер порта
Разрешите свой номер порта в брандмауэре Windows 2008 (и укажите область IP-адресов, которые могут обращаться к серверу через RDP - это необязательно, но это хорошая практика безопасности).
Перезапустите службу RDP или перезагрузите сервер
Есть несколько вариантов...
Заблокируйте порт 3389 только от службы / программного обеспечения сканирования безопасности, чтобы заставить программное обеспечение думать, что порт 3389 закрыт, хотя на самом деле это не так.:) (вероятно, не очень хорошая идея в большинстве случаев)
Требовать пользователей RDP для подключения с использованием VPN. Это может быть хлопотно, но улучшит безопасность и, возможно, сделает ваш сканер безопасности счастливым.
Я не знаю много о протоколах RDP, но FTP (если вы не используете FTPS) отправляет пароли в открытом виде, поэтому не имеет значения, насколько "надежны" ваши пароли - вы отправляете их ясно видимым для всех отслеживание вашего интернет-соединения. Решение проблем с FTP-соединениями только с компьютеров, подключенных к VPN, также решит эту проблему.
С точки зрения того, кто управляет аудитом безопасности для глобальных корпораций, у вас есть несколько вариантов, но сначала:
Обучите ваше старшее руководство рискам RDP и FTP - это должен быть их вызов, продолжаете ли вы их использовать и принимаете риск, снижаете риск с помощью дополнительных мер безопасности или заменяете их чем-то другим полностью
Тогда ваши варианты:
- Поднимите исключение в Реестре рисков - высшее руководство примет это
- Что касается @Flimzy - запуск VPN для удаленных сайтов имеет наилучший смысл с технической точки зрения: затем вы можете продолжать использовать FTP, RDP и т. Д. (Которые, как известно, имеют проблемы с безопасностью), поскольку вы обеспечиваете уровень строгой безопасности (VPN)
- Замените RDP и FTP на более безопасные механизмы подключения
Я бы определенно не пошел по пути попыток одурачить аудит безопасности - все, что заставляет старшее руководство думать, что проблем нет, и может вернуться к вам укусить различными дорогими способами, возможно, включая личную ответственность!
Если это соответствует вашим потребностям, вы также можете ограничить доступ к RDP-порту только для нескольких "защищенных" исходных IP-адресов. Это можно сделать с помощью большинства программных брандмауэров, включая встроенные в Windows fw.