用 mstsc 远程连接服务器的时候,你是不是总担心密码被人偷看?或者怕连接过程中数据被截获?甚至听说有人的服务器因为远程设置没做好,被黑客登录删了数据 —— 小编之前就遇到过同事的服务器被暴力破解,还好发现及时没丢重要东西。其实只要把安全设置做好,这些风险就能降到最低。今天就从基础的密码设置,到进阶的端口修改,一步步教你怎么给 mstsc 远程连接加道 “安全锁”,一起往下看吧!
基础问题:为啥 mstsc 远程连接服务器,安全设置不能马虎?
可能有人会说,不就是远程连个服务器吗,设个密码不就行了?真不是这么简单。
服务器里存着多少重要数据啊,客户信息、交易记录、源代码,一旦被黑客通过远程连接入侵,损失可就大了。小编听 IT 圈的朋友说过,有公司因为 mstsc 用了默认密码,被黑客登录后,数据库被删得干干净净,恢复数据花了几十万。
而且 mstsc 默认用的 3389 端口,早就成了黑客扫描的重点目标,每天不知道有多少台服务器被尝试暴力破解。所以啊,安全设置不是可有可无的,是必须做的事。
场景问题:从登录到连接,这些安全设置步骤必须做
(1)先给服务器设个 “抗揍” 的密码,别用 123456
这是最基本的,密码设置得太简单,就像给门装了把塑料锁。
具体怎么设才安全?
- 长度至少 12 位,小编公司要求 16 位以上;
- 得有大小写字母、数字、特殊符号,比如 “Zh3#k9Lp@7” 这种,别用生日、手机号;
- 三个月换一次,别一个密码用到老,小编手机里专门记着换密码的日期。
有个朋友图省事,服务器密码设成 “server123”,结果不到一周就被登录过,还好他及时发现改了密码,不然数据就危险了。
(2)限制能远程登录的用户,别谁都能连
服务器上可能有很多用户,但不是每个都需要远程登录权限,把不需要的用户踢出去。
操作步骤:
- 右键 “此电脑” 选 “管理”,找到 “本地用户和组”;
- 点开 “组”,双击 “Remote Desktop Users”,里面就是能远程登录的用户;
- 把不相关的用户删了,只留你自己和必要的管理员账号,这样就可以减少被破解的风险。
小编每次新搭服务器,第一件事就是做这个设置,多一道限制就多一分安全。
(3)改改默认的 3389 端口,别让黑客轻易找到入口
mstsc 默认用 3389 端口,黑客一扫描这个端口,就知道你在用远程桌面。
改端口的方法虽然麻烦点,但能避开大部分扫描:
- 按 “Win+R” 输入 “regedit” 打开注册表;
- 找到路径 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”,右边的 “PortNumber” 就是端口,右键选 “修改”,改成 10000-65535 之间的数字,比如 12345;
- 再找到 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”,同样把 “PortNumber” 改成刚才的 12345;
- 改完重启服务器,以后用 mstsc 连接时,IP 地址后面得加端口,比如 “192.168.1.10:12345”。
小编第一次改的时候,改完忘了记端口号,折腾半天才找回来,所以改完一定要记下来啊。
(4)给远程连接加道 “防火墙”,不是谁的请求都通过
Windows 防火墙可以设置只允许特定 IP 远程连接,相当于给服务器装了个 “门禁”。
设置方法:
- 打开 “控制面板 – 防火墙 – 高级设置”;
- 左边选 “入站规则”,找到 “远程桌面 (TCP-In)”;
- 右键选 “属性”,切换到 “ Scope ” 标签,在 “远程 IP 地址” 里选 “仅允许这些 IP 地址”,把你常用的 IP 加进去,比如办公室 IP、家里 IP。
这样设置后,只有你加进去的 IP 能远程连接,其他 IP 就算知道密码和端口,也连不上。小编在家和公司都要连服务器,就把这两个地方的 IP 加进去了,安全多了。
解决方案:如果不做这些安全设置,可能会遇到这些麻烦
(1)不设复杂密码,账号分分钟被破解
要是密码太简单,黑客用暴力破解工具,几分钟就能试出密码。小编用破解工具测试过,像 “123456”“admin888” 这种密码,10 秒内就能被破解。
破解后黑客能干啥?删除文件、篡改数据、甚至把服务器当成 “肉鸡” 攻击别人,到时候你不仅要恢复数据,可能还得承担法律责任。
(2)不修改默认端口,每天被扫描几百次
3389 端口是 mstsc 的 “招牌”,黑客的扫描工具会批量扫描这个端口,一旦发现开放,就会疯狂尝试登录。
小编的服务器没改端口前,防火墙日志里每天都有几百条来自不同 IP 的登录尝试,改了端口后,一个月都没几条,你说效果明显不明显。
(3)不限制远程用户,权限混乱容易出问题
要是随便一个用户都能远程登录,万一哪个用户的账号被盗了,黑客就能顺藤摸瓜登录服务器。
之前有公司因为实习生的账号被破解,导致服务器被入侵,就是因为没限制远程用户权限,你说这亏不亏。
自问自答:这些安全设置的细节,你可能还不清楚
问:改了远程端口后,用 mstsc 连接时怎么输入端口啊?
答:在 “计算机” 那一栏里,IP 地址后面加个冒号和端口号就行,比如 “192.168.1.200:12345”,小编第一次这么输的时候还怕不对,试了才知道没问题。
问:服务器需要被多个地方的人远程连接,限制 IP 不方便怎么办?
答:可以用 VPN,让大家先连接 VPN,再通过 VPN 远程连接服务器,这样就不用开放公网 IP 的远程端口了。小编公司的异地同事,都是用这种方法连服务器,安全又方便。
问:有没有办法知道有没有人尝试破解我的远程连接?
答:有!看 Windows 的安全日志,在 “事件查看器 – Windows 日志 – 安全” 里,事件 ID 4625 就是登录失败的记录,里面能看到尝试登录的账号和 IP。小编每天都会看一眼,有异常 IP 就加到防火墙黑名单里。
小编的心得
mstsc 远程连接服务器的安全设置,看着步骤多,其实做起来不复杂,难的是坚持做。比如定期换密码,刚开始觉得麻烦,养成习惯就好了。
小编建议新手把这些设置一步一步记下来,搭好服务器后照着做,别等出了问题再后悔。安全这东西,宁愿多做一步,也不能少做一步,毕竟服务器里的数据太重要了,你说对吧?
