文档首页/ 弹性云服务器 ECS/ 最佳实践/ 云服务器安全/ Windows云服务器RDP登录的安全加固
更新时间:2026-07-08 GMT+08:00
分享

Windows云服务器RDP登录的安全加固

Windows云服务器常用远程登录方式为RDP(远程桌面协议),默认使用3389端口,易被暴力破解、端口扫描攻击。本文以Windows Server 2022 64bit为例,从端口修改、防火墙放行、安全组配置等维度,提供完整可执行的RDP安全加固方案。

弹性云服务器基本信息

参数

取值示例

名称

ecs-796c

操作系统

Windows Server 2022 数据中心版 64位

弹性公网IP

114.116.xxx.x

登录方式

密码

修改默认端口

RDP默认端口为3389,修改为自定义端口(示例:2020),减少暴露风险。

  1. 通过RDP文件远程登录云服务器。
  2. 按Win+R打开运行窗口,输入“regedit”进入注册表编辑器。
  3. 打开注册表,依次选择HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp,并双击PortNumber键值。
    1. 将对话框中的“基数”栏选择为“十进制(D)”。
    2. 修改数值数据为新的端口,本例为2020。
      图1 修改为2020端口
    3. 修改完成后,单击“确定”。
  4. 依次打开注册表分支 HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp,并双击PortNumber键值
    1. 将对话框中的“基数”栏选择为“十进制(D)”。
    2. 修改数值数据为新的端口,本例为2020。
      图2 修改为2020端口
    3. 修改完成后,单击“确定”。
  5. 按Win+R打开运行窗口,输入“services.msc”,回车打开服务面板。
    图3 服务面板
  6. 找到Remote Desktop Services,右键选择“重新启动(E)”。
    图4 重启服务
  7. 单击“是(Y)”,等待服务状态显示 “正在运行”。
    图5 确认重新启动

增加防火墙规则:开放指定端口

  1. 单击桌面左下角的Windows图标,选择“控制面板 > Windows Defender 防火墙”。
    图6 选择Windows Defender 防火墙
  2. 在“Windows Defender 防火墙”页面,单击左侧导航栏“高级设置”。
    图7 选择“高级设置”
  3. 在“高级安全 Windows Defender 防火墙”窗口,单击左侧“入站规则”。
    图8 入站规则
  4. 单击“操作”栏的“新建规则...”。

    请根据界面提示,开放具体的端口。本文以开放2020端口为例,具体操作如下:

    1. 在弹出的“新建入站规则向导”窗口的“规则类型”步骤中,选择“端口(0)”,单击“下一步(N)”。
      图9 规则类型
    2. 在“协议和端口”步骤中,选择“TCP”,然后添加特定本地端口,单击“下一步(N)”。
      图10 协议和端口
    3. 在“操作”步骤中,选择“允许连接(A)”,单击“下一步(N)”。
      图11 操作
    4. 在“配置文件”步骤中,使用默认配置即可,单击“下一步(N)”。
      图12 配置文件
    5. 在“名称”步骤中,填写规则名称,单击“完成(F)”。
      图13 名称

    规则添加完成后,新端口即开放,云服务器的防火墙会自动放行。

添加安全组规则

当云服务器的RDP登录端口修改为2020时,需要为安全组新加一条规则。

  1. 登录ECS控制台,进入弹性云服务器列表页面。
  2. 单击云服务器名称“ecs-796c”进入详情页面。
  3. 选择“安全组”页签,单击待配置安全组规则右侧的“配置规则”。
    图14 配置规则
  4. 在“入方向规则”页签,单击“添加规则”。
  5. 添加一条入方向规则,如图15所示。
    图15 安全组规则

限制RDP登录用户

默认所有用户可通过RDP登录,需限制仅管理员组用户登录。

  1. 按下Win+R,输入lusrmgr.msc,回车打开本地用户和组。
    图16 打开本地用户和组
  2. 左侧选择“组”,双击Remote Desktop Users,删除所有非管理员用户。
  3. 仅保留Administrators组用户(默认已加入),单击“确定”。

配置IP访问黑白名单

通过本地安全策略限制仅指定IP可访问RDP,拦截恶意IP。

创建IP安全策略

  1. 按下Win+R,输入secpol.msc,回车打开本地安全策略。
    图17 打开本地安全策略
  2. 右键“IP 安全策略,在本地计算机”,单击“创建 IP 安全策略(C)...”。
    图18 创建IP安全策略
  3. 在弹出的“IP 安全策略向导”窗口,单击“下一步(N)”。
    图19 IP安全策略向导
  4. 输入名称,本文以RDP-IP-Allow为例,单击“下一步(N)”。
    图20 输入IP安全策略名称
  5. 单击“下一步(N)”。
    图21 安全通讯请求
  6. 单击“完成”。
    图22 完成IP安全策略向导

添加允许IP规则

  1. 双击新建的 “RDP-IP-Allow”,单击“添加(D)...”。
    图23 属性
  2. 在弹出的“安全规则向导”窗口,单击“下一步(N)”。
    图24 安全规则向导
  3. 在“隧道终结点”页面中选择“此规则不指定隧道(T)”,单击“下一步(N)”。
    图25 隧道终结点
  4. “网络类型”选择“所有网络连接(C)”,单击“下一步(N)”。
    图26 网络类型
  5. 在“IP 筛选器列表”单击“添加(A)...”。
    图27 选择IP筛选器
  6. 填写名称,本文以 “Allow-Admin-IP”为例,单击“添加(A)...”。
    图28 添加IP筛选器
  7. 在弹出的“IP 筛选器向导”窗口,单击“下一步(N)”。
    图29 IP筛选器向导
  8. 继续单击“下一步(N)”。
    图30 IP筛选器描述和镜像属性
  9. “IP 流量源”页面中的“源地址(S)”选择“一个特定的 IP 地址或子网”,“IP 地址或子网(l)”中输入管理员IP,单击“下一步(N)”。
    图31 设置源地址
  10. “IP 流量目标”页面中的“目标地址(D)”选择“我的 IP 地址”,单击“下一步(N)”。
    图32 设置目标地址
  11. “IP 协议类型”页面中的“选择协议类型(S)”选择“TCP”,单击“下一步(N)”。
    图33 选择IP协议类型
  12. “IP 协议端口”页面中设置端口为2020,单击“下一步(N)”。
    图34 IP协议端口
  13. 单击“完成”。
    图35 完成IP筛选器向导
  14. 在“IP 筛选器列表”页面,单击“确定”。
    图36 IP筛选器列表
  15. 选中已创建的IP 筛选器,单击“下一步(N)”。
    图37 选择IP筛选器
  16. 在“筛选器操作”页面,单击“添加(A)...”。
    图38 添加筛选器
  17. 在弹出“筛选器操作向导”页面,单击“下一步(N)”。
    图39 筛选器操作向导
  18. 填写筛选操作名称,单击“下一步(N)”。
    图40 填写名称
  19. “筛选器操作常规选项”选择“许可”,单击“下一步(N)”。
    图41 设置操作行为
  20. 单击“完成”。
    图42 完成筛选器操作向导
  21. 选中已添加的筛选器操作,单击“下一步(N)”。
    图43 选择筛选器操作
  22. 单击“完成”。
    图44 完成安全规则向导

拒绝所有其他 IP

重复上述步骤1~22,创建IP 筛选器,源地址选任何 IP 地址,筛选器操作选阻止,确保仅允许指定IP访问RDP。

相关文档