= com Remote Working, tornando -se crescente e cibernético e cibercrimor As empresas de software precisam garantir que os servidores de desktop remotos sejam configurados com segurança, garantindo que os clientes recebam a melhor proteção disponível. Eles usam software ou scripts especializados para gerar listas de servidores para atacar e, em seguida, executam scripts de login para tentar combinações dos nomes de usuário e senhas mais comuns. Em primeiro lugar, se você não estiver usando uma VPN e possui portas abertas no firewall do roteador, não use a porta 3389 como sua porta externa. Em vez disso, altere -o para um número aleatório para ocultar a conexão. Se você estiver usando uma VPN ou procurando proteger uma rede interna, procure alterar a porta que está sendo usada diretamente no servidor. Servidor \ winstations \ rdp-tcp \ PortNumber.IT professionals and software companies need to ensure that Remote Desktop Servers are set up securely, ensuring clients are given the best available protection.
Change default ports
Some hackers scan the internet looking for common ports that can be accessed. They use specialist software or scripts to generate lists of servers to attack, then run login scripts to try combinations of the most common usernames and passwords.
Changing the port makes it harder for basic scanning tools to realise the port open is Remote Desktop.
There are a couple of ways to do this. Firstly, if you are not using a VPN and have open ports on your router firewall, do not use port 3389 as your external port. Instead, change it to a random number to hide the connection. If you are using a VPN or looking to protect an internal network you should look to change the port being used directly on the server.
How to change your RDS port
- Start Registry Editor.
- Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber.
- No menu Editar, clique em Modificar e clique em Decimal. Design - você pode usar um nome de usuário e senha, chaves secretas e certificados de clientes para proteger o acesso à sua rede e servidores. Isso garante que seus servidores de desktop remotos não precisem ter portas RDS abertas acessíveis na Internet. Isso impede que os hackers usem explorações para obter acesso ao seu sistema e garante que você esteja usando a versão mais segura do software. Símbolos. Isso impede que o MITM (homem no meio) tenta roubar informações. O RDP Guard trabalha com base em Fail2Ban. O software verifica o log de eventos para tentativas com falha e, em seguida, bloqueia o IP da rede no firewall local. Isso é essencial se, por algum motivo, uma VPN não estiver em uso ou você deseja proteger seu servidor de um ataque de força bruta de rede local.
- Type the new port number, and then click OK.
- Quit Registry Editor.
- Restart the computer.
VPN only
VPN access is secure by design – you can use a username and password, secret keys and client certificates to protect access to your network and servers. This ensures that your remote desktop servers won’t need to have open RDS ports accessible on the internet.
Keep servers updated
It’s best practice to regularly patch your servers and desktops. This prevents hackers using exploits to gain access to your system and ensures you are using the most secure version of the software.
Using strong passwords
Enforcing strong passwords is paramount for security before any user is enabled for remote access this should be checked as a requirement.
A strong password consists of at least eight characters that are a combination of letters (both upper and lowercase), numbers and symbols.
SSL
Installing an SSL certificate on your server will mean that there is an additional check to verify the identity of the server that is being connected to. This prevents MITM (Man in the Middle) attempts to steal information.
RDP Guard
Specialist software to protect terminal servers exists. RDP Guard works on the basis of Fail2Ban. The software checks the event log for failed attempts and then blocks the network IP on the local firewall. This is a must-have if for some reason a VPN is not in use or you want to protect your server from a local network brute force attack.
Ativar autenticação no nível da rede
NLA fornece outro nível de autenticação e é ativado por padrão no Windows Server 2008 e acima. Outro benefício disso é que ele não permite que as sessões sejam criadas até que um login bem-sucedido tenha ocorrido, salvando os recursos do servidor. Com o 2FA ativado, você tem outra camada de autenticação adicionada ao seu servidor de desktop remoto. O melhor do 2FA é que as senhas mudarão constantemente, tornando quase impossível acessar através de uma tentativa de força bruta. RDS significa melhor desempenho e diminuir o risco de um invasor obter acesso à sua rede.
Two-Factor Authentication (2FA)
Two-Factor Authentication software such as Duo can further enhance your security. With 2FA enabled you have another layer of authentication added to your Remote Desktop Server. The great thing about 2FA is that the passwords will be constantly changing making it almost impossible to access via a brute force attempt.
Conclusion
Securing terminal servers is extremely important as they are big targets for cybercriminals and have even been used to spread ransomware.
Using the methods provided will help you achieve a more secure RDS meaning better performance and lowering the risk of an attacker gaining access to your network.