我正在运行 Windows Server2008 R2,并在事件日志中多次看到以下错误,其中包含各种 IP:
终端服务器安全层在协议流中检测到错误并已断开客户端。客户端 IP xxx.xxx.xxx.xxx
我检查了这些 IP,它们绝对不是来自我团队中的任何人或任何应该有权访问的人。其中一个 IP 甚至被列入黑名单。
我在这里假设有人试图通过 RDP 访问我的服务器。
通常我会将防火墙配置为仅接受来自“允许”IP 地址的 RDP。然而,我面临的问题是我的 ISP 没有静态 IP,而且它会不时变化。
考虑到我家里没有静态IP,有什么推荐的方法/解决方案来处理这个问题吗?
没有完全证明安全性,但端口敲击可以允许您通过首先向服务器发送一组特殊的数据包来打开关闭的端口。
您还可以租用具有专用 IP 地址的廉价服务器并设置 VPN,然后将防火墙明确设置为仅允许来自 VPN IP 的连接。
大多数 RDP 攻击都针对标准 3389 端口。将该端口更改为任何非标准端口(如 8123)将使您的远程桌面服务监听它。
更改后,您需要在启动远程桌面连接时指定端口号。例如。IP地址:8123
您可能想查看RDPGuard(对于 rdp 基本上是 fail2ban),当然还要尽力执行一个好的密码策略。
我意识到这个问题已被标记为已回答,但 Microsoft 在 Server 2008 R2 中包含一项名为Microsoft TS(或 RDP)网关的服务
这样做是允许您将另一台服务器(终端服务网关)放在实际终端服务器的前面,该服务器侦听 TCP 443 而不是 3389。除了隐藏终端服务器的存在之外,TS 网关服务器还添加了另一层身份验证,因为您的用户可以同时拥有 TS 网关凭据和域凭据。