如何關閉端口3389而不丟失RDP？

Question

我們的實時Web服務器的企業安全掃描（正確）報告3389（遠程桌面訪問的標準端口）爲開放狀態，並且要求我們關閉它。

不幸的是，服務器實際上是遠程的，我們需要RDP訪問。

同樣，端口21用於FTP。

我們爲FTP和RDP訪問提供了強大的密碼。

有沒有解決方案？我應該只配置服務在不同的端口上運行嗎？ （好像透過朦朧無非安全）

Answer 1

我寫文章在這這裏有很多圖片的：

http://www.iteezy.com/change-rdp-3389-port-on-windows-2008-server/qc/10098

摘要：在HKEY_LOCAL_MACHINE \ SYSTEM

1. 更改註冊表\ CURRENTCONTROLSET \控制\的TerminalServer \ WinStations \ RDP -Tcp \ PortNumber從3389到您的端口號

2. 在Windows 2008 Firewa內允許您的端口號（並且指定可以通過RDP訪問服務器的IP地址範圍 - 這是可選的，但安全實踐良好）。

3. 重新啓動RDP服務或重新啓動服務器

Answer 2

有幾個選項...

1）阻止端口3389只從安全掃描服務/軟件，該軟件誤以爲該端口3389已關閉，即使它確實沒有。 :)（在大多數情況下可能不是一個好主意）

2）要求RDP用戶使用VPN進行連接。這可能很麻煩，但會提高安全性，並可能使您的安全掃描程序感到高興。

我對RDP協議並不瞭解，但FTP（除非您使用的是FTPS）以明文形式發送密碼，所以無論您的密碼有多「強大」 - 您都可以發送它們任何人窺探你的互聯網連接都清楚可見。要求FTP連接只能來自VPN連接的計算機也能解決這個問題。

Answer 3

從某人誰管理安全審計爲全球企業的角度 - 你有幾種選擇，但首先：

教育你的高級管理人員對RDP和FTP的風險 - 它應該是他們的呼叫是否繼續使用，並接受風險，減輕與額外的安全控制的風險，或者你用別的東西代替它們完全

那麼你的選擇是：

• 提高對風險登記例外 - 高級管理人員接受
• 根據@Flimzy的說法 - 從技術角度來看，運行VPN到遠程站點是最好的選擇：您可以繼續使用FTP，RDP等任何（已知存在安全問題），因爲您提供了一層強大的安全性（該VPN）
• 更換RDP和FTP更安全的連接機制

我絕對不會往下走的路線，試圖愚弄安全審計 - 所有這些的確是平靜高級管理人員，以爲那裏是沒有問題的，並且可能會以各種昂貴的方式回來咬你，可能包括個人責任！

Answer 4

如果它符合您的需求，您也可以限制只有少數「安全」源IP地址訪問RDP端口。這可以通過大多數軟件防火牆來完成，包括內置窗口fw。