10秒后自动关闭
如何提升Windows服务器mstsc远程登录安全

远程桌面登录(mstsc)是管理Windows服务器最主要的方式,于是很多不法分子打起了通过远程桌面入侵的歪心思。他们采用暴力破解或撞库的方式破解系统账户密码,悄悄潜入服务器。暴力破解远程桌面效果如下图一。

 暴力破解远程账户和密码

(图一:暴力破解远程账户和密码)


同时层出不穷的远程代码执行漏洞也严重威胁着服务器的安全,攻击者可以利用远程代码执行漏洞在服务器上执行任意代码,继而完全控制服务器。一般来说,只要Windows服务器启用了远程桌面服务,就可能出现远程代码执行漏洞。


那么如提升远程登录安全防护能力呢?本文就对几种常见的防护方式进行讲解分析。


一、 关闭远程桌面

是的,就是关闭远程桌面服务,任何人都没法远程登录。

这种主要适合云服务器,管理员可以通过云厂商控制台的“VNC登录”进行远程管理服务器,操作虽然没有直接远程登录方便,但也能完成绝大部分操作,而且绝对安全。至于远程代码执行漏洞,更不用担心了,因为远程端口没有开放,黑客压根触碰不到此漏洞。

对于没有VNC的服务器,可以采用人工在线开关远程桌面操作,需要远程时开启远程桌面服务,不需要远程时关闭远程桌面服务,需要借助第三方软件才能实现,可以使用《护卫神.防入侵系统》在线开关远程桌面。


二、 限制终端计算机名

对远程终端设备的名称进行限制,只有设备名称(如计算机名)匹配的终端才能远程登录。

这种方法从10多年前起就非常流行,能很大程度提升远程桌面安全。但也存在一些问题,例如拦截滞后。该模式是账户密码验证通过以后才触发,因此黑客可以成功暴破账户密码。同时远程端口一直处于开放状态,黑客可以成功利用远程代码执行漏洞。


三、 登录验证码

远程登录时,先输入一个随机验证码,验证通过后,才能进入输入账户密码的页面。

此方法在终端计算机名的基础上又提升了很大的安全性,因为黑客暴力破解不了。但是远程端口仍然一直处于开放状态,黑客可以成功利用远程代码执行漏洞。


四、 终端IP限制

对远程终端设备的IP地址进行限制,只有IP地址匹配的终端才允许登录。

这是目前最为安全的方法,因为IP地址没法伪造,黑客就没法暴力破解。同时对IP不匹配的终端来说,服务器的远程端口是关闭的,因此黑客也不能通过远程代码执行漏洞进行入侵。

唯一的问题就是:绝大部分用户都是家庭宽带,没有独立IP,如何动态设置授权IP呢

这个就需要使用第三方安全软件实现,推荐使用《护卫神.防入侵系统》,因此其不仅支持IP,还支持IP段和动态域名,更支持区域,非常有特色。如下图一,限制只允许“成都”地区IP远程登录,非成都地区登录时远程端口都不对其开放。黑客和你同所城市的可能性非常小,几乎为零,因为黑客为了不被抓捕,都会使用国外服务器来暴力破解。

 只允许成都地区远程登录服务器

(图二:只允许成都地区远程登录服务器)



以城市进行整体限制,既解决没有独立IP的困扰,也不会对运维人员产生额外的工作。如果觉得整所城市开放不安全,没关系,还可以限制终端计算机名,“IP+计算机名”,这样就绝对安全了!如下图三,护卫神防入侵系统提供了多种防护措施,可以叠加使用,让安全加倍。防护功能包括:开/关远程桌面服务、限制终端IP/区域、限制终端计算机名、限制远程登录时间、防暴力破解,以及登录消息通知。

 护卫神远程桌面防护

(图三:护卫神远程桌面防护)



通过“登录消息通知”模块,可以及时知晓谁登录了服务器,让安全一目了然,如下图四。

远程登录消息通知

(图四:远程登录消息通知)



本文对四种提升远程登录安全的方法进行了详细的分析,请根据你的需要,选择适合自己的方法。