Windows云服务器RDP登录的安全加固
Windows云服务器常用远程登录方式为RDP(远程桌面协议),默认使用3389端口,易被暴力破解、端口扫描攻击。本文以Windows Server 2022 64bit为例,从端口修改、防火墙放行、安全组配置等维度,提供完整可执行的RDP安全加固方案。
弹性云服务器基本信息
| 参数 | 取值示例 |
|---|---|
| 名称 | ecs-796c |
| 操作系统 | Windows Server 2022 数据中心版 64位 |
| 弹性公网IP | 114.116.xxx.x |
| 登录方式 | 密码 |
修改默认端口
RDP默认端口为3389,修改为自定义端口(示例:2020),减少暴露风险。
- 通过RDP文件远程登录云服务器。
- 按Win+R打开运行窗口,输入“regedit”进入注册表编辑器。
- 打开注册表,依次选择HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > Wds > rdpwd > Tds > tcp,并双击PortNumber键值。
- 将对话框中的“基数”栏选择为“十进制(D)”。
- 修改数值数据为新的端口,本例为2020。 图1 修改为2020端口
- 修改完成后,单击“确定”。
- 依次打开注册表分支 HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Control > Terminal Server > WinStations > RDP-Tcp,并双击PortNumber键值。
- 将对话框中的“基数”栏选择为“十进制(D)”。
- 修改数值数据为新的端口,本例为2020。 图2 修改为2020端口
- 修改完成后,单击“确定”。
- 按Win+R打开运行窗口,输入“services.msc”,回车打开服务面板。 图3 服务面板
- 找到Remote Desktop Services,右键选择“重新启动(E)”。 图4 重启服务
- 单击“是(Y)”,等待服务状态显示 “正在运行”。 图5 确认重新启动
增加防火墙规则:开放指定端口
- 单击桌面左下角的Windows图标,选择“控制面板 > Windows Defender 防火墙”。 图6 选择Windows Defender 防火墙
- 在“Windows Defender 防火墙”页面,单击左侧导航栏“高级设置”。 图7 选择“高级设置”
- 在“高级安全 Windows Defender 防火墙”窗口,单击左侧“入站规则”。 图8 入站规则
- 单击“操作”栏的“新建规则...”。
请根据界面提示,开放具体的端口。本文以开放2020端口为例,具体操作如下:
- 在弹出的“新建入站规则向导”窗口的“规则类型”步骤中,选择“端口(0)”,单击“下一步(N)”。 图9 规则类型
- 在“协议和端口”步骤中,选择“TCP”,然后添加特定本地端口,单击“下一步(N)”。 图10 协议和端口
- 在“操作”步骤中,选择“允许连接(A)”,单击“下一步(N)”。 图11 操作
- 在“配置文件”步骤中,使用默认配置即可,单击“下一步(N)”。 图12 配置文件
- 在“名称”步骤中,填写规则名称,单击“完成(F)”。 图13 名称
规则添加完成后,新端口即开放,云服务器的防火墙会自动放行。
- 在弹出的“新建入站规则向导”窗口的“规则类型”步骤中,选择“端口(0)”,单击“下一步(N)”。
添加安全组规则
当云服务器的RDP登录端口修改为2020时,需要为安全组新加一条规则。
限制RDP登录用户
默认所有用户可通过RDP登录,需限制仅管理员组用户登录。
- 按下Win+R,输入lusrmgr.msc,回车打开本地用户和组。 图16 打开本地用户和组
- 左侧选择“组”,双击Remote Desktop Users,删除所有非管理员用户。
- 仅保留Administrators组用户(默认已加入),单击“确定”。
配置IP访问黑白名单
通过本地安全策略限制仅指定IP可访问RDP,拦截恶意IP。
创建IP安全策略
- 按下Win+R,输入secpol.msc,回车打开本地安全策略。 图17 打开本地安全策略
- 右键“IP 安全策略,在本地计算机”,单击“创建 IP 安全策略(C)...”。 图18 创建IP安全策略
- 在弹出的“IP 安全策略向导”窗口,单击“下一步(N)”。 图19 IP安全策略向导
- 输入名称,本文以RDP-IP-Allow为例,单击“下一步(N)”。 图20 输入IP安全策略名称
- 单击“下一步(N)”。 图21 安全通讯请求
- 单击“完成”。 图22 完成IP安全策略向导
添加允许IP规则
- 双击新建的 “RDP-IP-Allow”,单击“添加(D)...”。 图23 属性
- 在弹出的“安全规则向导”窗口,单击“下一步(N)”。 图24 安全规则向导
- 在“隧道终结点”页面中选择“此规则不指定隧道(T)”,单击“下一步(N)”。 图25 隧道终结点
- “网络类型”选择“所有网络连接(C)”,单击“下一步(N)”。 图26 网络类型
- 在“IP 筛选器列表”单击“添加(A)...”。 图27 选择IP筛选器
- 填写名称,本文以 “Allow-Admin-IP”为例,单击“添加(A)...”。 图28 添加IP筛选器
- 在弹出的“IP 筛选器向导”窗口,单击“下一步(N)”。 图29 IP筛选器向导
- 继续单击“下一步(N)”。 图30 IP筛选器描述和镜像属性
- “IP 流量源”页面中的“源地址(S)”选择“一个特定的 IP 地址或子网”,“IP 地址或子网(l)”中输入管理员IP,单击“下一步(N)”。 图31 设置源地址
- “IP 流量目标”页面中的“目标地址(D)”选择“我的 IP 地址”,单击“下一步(N)”。 图32 设置目标地址
- “IP 协议类型”页面中的“选择协议类型(S)”选择“TCP”,单击“下一步(N)”。 图33 选择IP协议类型
- “IP 协议端口”页面中设置端口为2020,单击“下一步(N)”。 图34 IP协议端口
- 单击“完成”。 图35 完成IP筛选器向导
- 在“IP 筛选器列表”页面,单击“确定”。 图36 IP筛选器列表
- 选中已创建的IP 筛选器,单击“下一步(N)”。 图37 选择IP筛选器
- 在“筛选器操作”页面,单击“添加(A)...”。 图38 添加筛选器
- 在弹出“筛选器操作向导”页面,单击“下一步(N)”。 图39 筛选器操作向导
- 填写筛选操作名称,单击“下一步(N)”。 图40 填写名称
- “筛选器操作常规选项”选择“许可”,单击“下一步(N)”。 图41 设置操作行为
- 单击“完成”。 图42 完成筛选器操作向导
- 选中已添加的筛选器操作,单击“下一步(N)”。 图43 选择筛选器操作
- 单击“完成”。 图44 完成安全规则向导
拒绝所有其他 IP

