Com o trabalho remoto, tornando -se cada vez mais popular e cibernético em seu nível mais alto, Profissionais de TI e as empresas de software precisam garantir que os servidores de desktop são definidos com segurança, que são definidos os clientes de uma melhor proteção. que pode ser acessado. Eles usam software ou scripts especializados para gerar listas de servidores para atacar e, em seguida, executam scripts de login para tentar combinações dos nomes de usuário e senhas mais comuns. Em primeiro lugar, se você não estiver usando uma VPN e possui portas abertas no firewall do roteador, não use a porta 3389 como sua porta externa. Em vez disso, altere -o para um número aleatório para ocultar a conexão. Se você estiver usando uma VPN ou procurando proteger uma rede interna, procure alterar a porta que está sendo usada diretamente no servidor. Servidor \ winstations \ rdp-tcp \ portNumber.

Change default ports

Some hackers scan the internet looking for common ports that can be accessed. They use specialist software or scripts to generate lists of servers to attack, then run login scripts to try combinations of the most common usernames and passwords.

Changing the port makes it harder for basic scanning tools to realise the port open is Remote Desktop.

There are a couple of ways to do this. Firstly, if you are not using a VPN and have open ports on your router firewall, do not use port 3389 as your external port. Instead, change it to a random number to hide the connection. If you are using a VPN or looking to protect an internal network you should look to change the port being used directly on the server.

How to change your RDS port

1. Start Registry Editor.
2. Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
3. No menu Editar, clique em Modificar e clique em Decimal. Design - você pode usar um nome de usuário e senha, chaves secretas e certificados de clientes para proteger o acesso à sua rede e servidores. Isso garante que seus servidores de desktop remotos não precisem ter portas RDS abertas acessíveis na Internet. Isso impede que os hackers usem explorações para obter acesso ao seu sistema e garante que você esteja usando a versão mais segura do software. Símbolos. Isso impede que o MITM (homem no meio) tenta roubar informações. O RDP Guard trabalha com base em Fail2Ban. O software verifica o log de eventos para tentativas com falha e, em seguida, bloqueia o IP da rede no firewall local. Isso é essencial se, por algum motivo, uma VPN não estiver em uso ou você deseja proteger seu servidor de um ataque de força bruta de rede local. Outro benefício disso é que ele não permite que as sessões sejam criadas até ocorrer um login bem -sucedido, salvando os recursos do servidor.
4. Type the new port number, and then click OK.
5. Quit Registry Editor.
6. Restart the computer.

VPN only

VPN access is secure by design – you can use a username and password, secret keys and client certificates to protect access to your network and servers. This ensures that your remote desktop servers won’t need to have open RDS ports accessible on the internet.

Keep servers updated

It’s best practice to regularly patch your servers and desktops. This prevents hackers using exploits to gain access to your system and ensures you are using the most secure version of the software.

Using strong passwords

Enforcing strong passwords is paramount for security before any user is enabled for remote access this should be checked as a requirement.

A strong password consists of at least eight characters that are a combination of letters (both upper and lowercase), numbers and symbols.

SSL

Installing an SSL certificate on your server will mean that there is an additional check to verify the identity of the server that is being connected to. This prevents MITM (Man in the Middle) attempts to steal information.

RDP Guard

Specialist software to protect terminal servers exists. RDP Guard works on the basis of Fail2Ban. The software checks the event log for failed attempts and then blocks the network IP on the local firewall. This is a must-have if for some reason a VPN is not in use or you want to protect your server from a local network brute force attack.

Enable network level authentication

NLA gives another level of authentication and is turned on by default in Windows Server 2008 and above. Another benefit of this is that it doesn’t allow sessions to be created until a successful login has occurred, saving server resources.

Autenticação de dois fatores (2FA)

Software de autenticação de dois fatores, como a Duo, pode melhorar ainda mais sua segurança. Com o 2FA ativado, você tem outra camada de autenticação adicionada ao seu servidor de desktop remoto. O melhor do 2FA é que as senhas mudarão constantemente, tornando quase impossível acessar através de uma tentativa de força bruta. RDS significa melhor desempenho e diminuir o risco de um invasor obter acesso à sua rede.

Conclusion

Securing terminal servers is extremely important as they are big targets for cybercriminals and have even been used to spread ransomware.

Using the methods provided will help you achieve a more secure RDS meaning better performance and lowering the risk of an attacker gaining access to your network.