2011-06-22 51 views
6

我們的實時Web服務器的企業安全掃描(正確)報告3389(遠程桌面訪問的標準端口)爲開放狀態,並且要求我們關閉它。如何關閉端口3389而不丟失RDP?

不幸的是,服務器實際上是遠程的,我們需要RDP訪問。

同樣,端口21用於FTP。

我們爲FTP和RDP訪問提供了強大的密碼。

有沒有解決方案?我應該只配置服務在不同的端口上運行嗎? (好像透過朦朧無非安全)

+4

這是題外話了計算器 - 不是編程相關的。 – Alnitak

回答

4

我寫文章在這這裏有很多圖片的:

http://www.iteezy.com/change-rdp-3389-port-on-windows-2008-server/qc/10098

摘要:在HKEY_LOCAL_MACHINE \ SYSTEM

  1. 更改註冊表\ CURRENTCONTROLSET \控制\的TerminalServer \ WinStations \ RDP -Tcp \ PortNumber從3389到您的端口號

  2. 在Windows 2008 Firewa內允許您的端口號(並且指定可以通過RDP訪問服務器的IP地址範圍 - 這是可選的,但安全實踐良好)。

  3. 重新啓動RDP服務或重新啓動服務器

8

有幾個選項...

1)阻止端口3389只從安全掃描服務/軟件,該軟件誤以爲該端口3389已關閉,即使它確實沒有。 :)(在大多數情況下可能不是一個好主意)

2)要求RDP用戶使用VPN進行連接。這可能很麻煩,但會提高安全性,並可能使您的安全掃描程序感到高興。

我對RDP協議並不瞭解,但FTP(除非您使用的是FTPS)以明文形式發送密碼,所以無論您的密碼有多「強大」 - 您都可以發送它們任何人窺探你的互聯網連接都清楚可見。要求FTP連接只能來自VPN連接的計算機也能解決這個問題。

6

從某人誰管理安全審計爲全球企業的角度 - 你有幾種選擇,但首先:

教育你的高級管理人員對RDP和FTP的風險 - 它應該是他們的呼叫是否繼續使用,並接受風險,減輕與額外的安全控制的風險,或者你用別的東西代替它們完全

那麼你的選擇是:

  • 提高對風險登記例外 - 高級管理人員接受
  • 根據@Flimzy的說法 - 從技術角度來看,運行VPN到遠程站點是最好的選擇:您可以繼續使用FTP,RDP等任何(已知存在安全問題),因爲您提供了一層強大的安全性(該VPN)
  • 更換RDP和FTP更安全的連接機制

我絕對不會往下走的路線,試圖愚弄安全審計 - 所有這些的確是平靜高級管理人員,以爲那裏是沒有問題的,並且可能會以各種昂貴的方式回來咬你,可能包括個人責任!

2

如果它符合您的需求,您也可以限制只有少數「安全」源IP地址訪問RDP端口。這可以通過大多數軟件防火牆來完成,包括內置窗口fw。