Remote Desktop Protocol (RDP) — это проприетарный сетевой протокол, разработанный компанией Microsoft, который позволяет пользователю удаленно подключаться к другому компьютеру и работать с ним так, как если бы он сидел прямо перед ним.
RDP является мощным инструментом для удаленного администрирования Windows-систем, однако его использование без должной настройки безопасности может представлять серьезную угрозу. В этой статье мы рассмотрим, как ограничить доступ по RDP и изменить стандартный порт для повышения безопасности.
vds
Ограничение доступа по RDP
Доступ по протоколу RDP можно ограничить несколькими способами:
- По IP-адресу
- Конкретному пользователю
Далее мы рассмотрим каждый способ подробнее.
Ограничение доступа RDP по IP-адресу
1) Открываем сервис «Панель управления». Для этого вводим название сервиса в строке поиска Windows:
2) В открывшемся окне переходим в раздел «Система и безопасность»:
3) Далее переходим в раздел «Брандмауэр Защитника Windows»:
4) В меню слева переходим в пункт «Дополнительные параметры»:
5) Выбираем раздел «Правила для входящих подключений»:
6) В появившемся списке ищем правило под названием «Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)» и кликаем по нему два раза левой кнопкой мыши:
7) В открывшемся меню переходим в раздел «Область». Нам необходимо настроить правило для удаленных IP-адресов. Сначала выбираем параметр «Указанные IP-адреса» далее нажимаем на кнопку «Добавить…»:
8) В открывшемся окне в параметре «IP-адрес или подсеть» задаем IP-адрес, с которого будет разрешено подключение по протоколу RDP. Также можно указать подсеть и IPv6-адрес. Если необходимо задать диапазон IP-адресов, то их достаточно прописать ниже в пункте «Диапазон IP-адресов»:
В качестве примера разрешим подключение только с IP-адреса 192.168.25.10. Это означает, что со всех остальных адресов подключиться по RDP не получится.
9) Чтобы сохранить изменения, нажимаем на кнопку «OK», затем «Применить».
При необходимости можно задать ограничения для протокола UDP, используя правило «Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)».
10) Проверим результат ограничения по IP-адресу. Подключаемся по RDP, используя стандартный клиент «Подключение к удаленному рабочему столу»:
Как можно увидеть на скриншоте выше, установить соединение не удалось в связи с ранее заданными ограничениями.
Ограничение доступа конкретному пользователю
Также ограничить доступ по протоколу RDP можно для конкретного пользователя в системе. Стоит отметить заранее, что по умолчанию все пользователи, которые состоят в группе «Администраторы» (Administrators), могут подключаться по RDP. Проверим на практике.
1) В поле поиска вводим слово «пользователи» и в предложенном результате выбираем «Добавление, изменение и удаление других пользователей»:
2) Нажимаем на кнопку «Добавить пользователя для этого компьютера»:
3) Переходим в раздел «Пользователи»:
3) Нажимаем правой кнопкой мыши на свободной области и выбираем пункт «Новый пользователь…»:
4) Заполняем следующие поля:
- Пользователь — придумываем и вписываем имя для нового пользователя. В данном примере будет создан пользователь с именем new-usr.
- Пароль — задаем пароль пользователю. Пароль должен быть не менее 8 символов и состоять из прописных латинских букв (A-Z), строчных латинских букв (a-z), цифр (0-9) и специальных символов (например, !, @, #, $, % и т.д.)
- Подтверждение — вводим пароль еще раз.
Для создания пользователя нажимаем на кнопку «Создать».
5) Далее нажимаем правой кнопкой мыши по созданному пользователю и выбираем «Свойства»:
6) Переходим в раздел «Членство в группах» и нажимаем на «Добавить»:
7) В поле «Введите имена выбираемых объектов» вписываем имя группы administrators и нажимаем на кнопку «Проверить имена». Если вы используете русскоязычную версию Windows Server 2019, то название группы необходимо указывать по-русски — администраторы.
8) Если имя группы введено правильно, то она отобразится в окне ниже:
9) Нажимаем на ОК для выхода и сохраняем изменения, нажав на кнопку «Применить».
10) Далее пробуем подключиться под новым пользователем:
Вводим пароль пользователя:
При появлении окна с проверкой подлинности сертификата нажимаем на кнопку «Да»:
Мы успешно подключились по протоколу RDP, используя ранее созданного пользователя, которого добавили в группу administrators.
Теперь лишим пользователя new-usr право на подключение.
1) Открываем приложение «Локальная политика безопасности»:
2) В появившемся окне в меню слева раскрываем папку «Локальные политики», далее переходим в папку «Назначение прав пользователя»:
3) Ищем политику с именем «Запретить вход в систему через службу удаленных рабочих столов»:
4) Открываем политику и нажимаем на кнопку «Добавить пользователя или группу»:
5) Вводим имя нашего пользователя и нажимаем на «Проверить имена»:
6) Далее нажимаем на «ОК» и «Применить», чтобы сохранить изменения.
7) Пробуем подключиться под пользователем еще раз:
Как можно увидеть, подключение осуществить не удалось, о чем говорит сообщение при входе в систему.
Изменение порта RDP
Смена стандартного порта (по умолчанию RDP использует порт 3389) является базовой мерой защиты. Смена порта не обеспечивает полную безопасность, однако значительно снижает количество автоматических атак и сканеров.
1) Открываем редактор реестра:
2) Находим следующую ветку (для удобства можно скопировать полный путь ниже и вставить в поле сверху):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
3) Открываем параметр PortNumber:
Выбираем десятичную систему счисления и в поле «Значение» вписываем необходимый порт. Например, укажем порт 49154:
Сохраняем изменения.
4) Далее необходимо создать правило в брандмауэре для порта, который мы указали ранее. В поиске пишем wf.msc:
5) Нажимаем правой кнопкой мыши по параметру «Правила для входящих подключений» и выбираем раздел «Создать правило»:
6) Выбираем правило «Для порта»:
Указываем «Протокол TCP» и в параметре «Определенные локальные порты» прописываем порт, который мы указали ранее:
Выбираем пункт «Разрешить подключение»:
Профиль оставляем по умолчанию:
Придумываем имя для правила:
Нажимаем на кнопку «Готово» для сохранения правила. Оно будет отображено в списке:
7) Перезагружаем сервер.
8) Для подключения необходимо указать ранее заданный порт, используя синтаксис IP-адрес:порт:
Заключение
RDP является неотъемлемым инструментом для удаленного администрирования серверов Windows. Однако его мощь сопряжена с высокими рисками для безопасности, так как протокол по умолчанию является частой мишенью для злоумышленников. Стандартная конфигурация RDP недостаточна для защиты от современных угроз. Для построения эффективной системы безопасности необходимо использовать такие способы как:
-
Ограничение доступа по IP-адресу
Является первым и критически важным барьером. Этот метод позволяет разрешить подключения только с доверенных сетей, что значительно сокращает поверхность для атак и блокирует попытки сканирования из интернета. -
Управление правами пользователей
Позволяет реализовать принцип наименьших привилегий. Эта мера помогает уменьшить атаки связанные с подбором учетных записей. -
Изменение стандартного TCP-порта RDP
Не является мерой криптографической защиты, но служит действенным способом «затемнения» сервиса. Это простое действие позволяет избежать огромного количества автоматизированных атак, нацеленных на порт по умолчанию.
