Windows: RDP beállítások

Rendszer / Windows (2023 katt)

A Windows Remote Desktop beállításaival kapcsolatban találtam egy érdekes cikket a következő címen:

Securing Remote Desktop (RDP) for System Administrators

Több olyan tanács is található a cikkben, ami biztonsági szempontból általában is betartandó, pl. használjunk erős jelszavakat, tartsuk naprakészen a programokat stb.

Elkezdtem kísérletezni a beállításokkal, és ezekkel kapcsolatban van néhány megjegyzésem:

1. A távoli asztal elérésénél a következőt tanácsos beállítani:

- futtatás: sysdm.cpl
- Remote / Távoli használat fül
- Allow remote connections to this computer / Bejövő távoli kapcsolatok engedélyezése
- az Allow connections only from computers... / Csak hálózati szintű hitelesítést alkalmazó... pipát célszerű bekattintani

Ezután régebbi operációs rendszerek alól (pl. Windows XP) nem lehet csatlakozni a géphez.



2. A Windows tűzfalban korlátozhatjuk, hogy mely IP-címekről lehessen hozzáférni távoli asztallal az adott géphez.

- futtatás: firewall.cpl
- itt ellenőrizhetjük, hogy a tűzfal be van-e egyáltalán kapcsolva

- futtatás: wf.msc
- itt az Inbound Rules / Bejövő szabályok között találunk egy Remote Desktop / Távoli asztal szabálycsoportot
- a szabályok szerkesztő ablakában a Scope / Hatókör fülre kell állni
- a Remote IP address / Távoli IP-cím szekcióban a These IP addresses / Ezek az IP-címek listában meg lehet adni, hogy mely címekre vonatkozzon az adott tűzfalszabály; ezután mások már nem tudnak távoli asztallal csatlakozni az adott géphez




3. Ha szeretnénk, meg tudjuk változtatni, hogy az RDP melyik porton figyeljen. Az alapértelmezett beállítás a 3389-es port.

- futtatás: regedit.exe
- meg kell keresni a következő kulcsot:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
- itt a PortNumber nevű azonosító értékét kell átírni arra a portszámra, amit használni szeretnénk, pl. a (decimális) 3390-re
- ha be van kapcsolva a tűzfal, akkor ezt az újonnan beállított portot is be kell engedni a tűzfalon
- azt tapasztaltam, hogy a beállítás érvénybe léptetéséhez újra kell indítani a számítógépet
- ezek után a gépet úgy érhetjük el, hogy a beírt név vagy cím után : - tal beírjuk a portszámot is

További infók:
Change the Remote Desktop Connection port to your Windows Server

4. Ha használunk Active Directory Domain Services-t, és a Group Policy-t is, akkor itt be tudjuk állítani, hogy a felhasználók hány elrontott bejelentkezési próbálkozás után kerüljenek zárolásra. Az eredeti cikk szerint ez korlátozza az automatikus brute-force támadások használhatóságát.



- el kell indítani a Server Manager Tools menüpontjából a Group Policy Management programot
- meg kell nyitni szerkesztésre a módosítani kívánt policy-t; ez lehet akár a Default Domain Policy is
- meg kell keresni a Computer Configuration / Policies / Windows Settings / Security Settings / Account Policies / Account Lockout Policies szakaszt
- itt lehet módosítani a zároláshoz kapcsolódó beállításokat
- ha az Account lockout duration értékét 0-ra állítjuk, akkor csak az admin tudja feloldani a zárolást (az ADUC-ban)


Előző oldal Kapitány