如何进行远程桌面 RDP 加固?
美国、香港服务器
如何进行远程桌面 RDP 加固?
03-28 来源:
一、最基础但最重要:改强密码
密码长度 ≥14 位
必须包含:大写 + 小写 + 数字 + 符号
不要用:123456、admin、admin123、服务器 IP、公司名等
修改密码命令(管理员 CMD):
cmd
net user administrator 你的强密码
二、修改默认端口 3389(强烈建议)
黑客只扫 3389,改端口后几乎不会被扫到。
打开注册表:
cmd
regedit
定位到:
plaintext
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
找到 PortNumber → 双击 → 选择 十进制
改成自定义端口,例如:13389、22338、54321
防火墙放行新端口
高级安全 Windows 防火墙 → 入站规则 → 新建规则
端口 → TCP → 输入你改的端口 → 允许连接
云服务器安全组也要放行该端口
三、限制仅你的 IP 能连 RDP(最安全)
打开 wf.msc 高级防火墙
找到远程桌面的入站规则
右键 → 属性 → 作用域
远程 IP 地址:仅下列 IP
填入你家里 / 公司的公网 IP
效果:全世界只有你能连 RDP,别人端口都扫不进去。
四、开启账户锁定策略(防暴力破解)
运行:
cmd
gpedit.msc
路径:
plaintext
计算机配置 → Windows 设置 → 安全设置 → 账户策略 → 账户锁定策略
设置:
账户锁定阈值:5 次无效登录
账户锁定时间:30 分钟
重置锁定计数器:30 分钟
错 5 次直接锁半小时,暴力破解直接失效。
五、禁用或重命名 Administrator 账号
新建一个管理员账号(自己用)
禁用默认 Administrator:
cmd
net user administrator /active:no
或直接改名:
cmd
wmic useraccount where name="administrator" rename adminabc123
黑客默认只爆破 administrator,改名后很难命中。
六、关闭不必要的 RDP 功能
运行 gpedit.msc
plaintext
计算机配置 → 管理模板 → Windows 组件 → 远程桌面服务 → 远程桌面会话主机 → 安全
启用以下几项:
要求使用网络级身份验证(NLA) → 已启用
要求使用安全层:SSL → 已启用
要求使用 FIPS 兼容 → 已启用
限制连接使用网络级身份验证 → 已启用
NLA 开启后,没通过验证连登录界面都看不到。
七、安装 fail2ban 类工具(自动封 IP)
Windows 推荐:
RDPGuard
IPBan
360 企业版 / 火绒 暴力破解防护
功能:
发现多次失败登录
自动拉黑 IP 几天甚至永久
基本能防住所有扫描器
八、不要给普通用户远程桌面权限
运行 lusrmgr.msc
确保只有 你自己的管理员账号 在 Remote Desktop Users 组
其他账号一律移除
九、如果你想要 “最安全级别”
直接用这一套组合:
改 RDP 端口
防火墙只允许你的 IP
强密码 + 账户锁定
开启 NLA
禁用默认管理员账号
安装 IP 自动封禁工具
这样配置后,几乎不可能被攻破。
三二互联专业提供香港VPS,美国VPS主机,香港云服务器租用等业务香港美国到大陆CN2 GIA速度最快
