چک لیست کامل امنیت ریموت دسکتاپ (RDP) در ویندوز سرور
شما به تازگی سرور مجازی آلمان ویندوزی خود را دریافت کردهاید و از طریق ریموت دسکتاپ (RDP) به آن متصل شدهاید. اما آیا میدانید که در همین لحظه، هزاران ربات در اینترنت در حال اسکن کردن پورت پیشفرض RDP (یعنی 3389) هستند تا با حملات Brute-force (آزمون و خطای رمز عبور) به سرور شما نفوذ کنند؟
امنیت ریموت دسکتاپ فقط یک توصیه نیست، بلکه یک ضرورت مطلق برای جلوگیری از دسترسیهای غیرمجاز و حملات باجافزاری (Ransomware) است. این مقاله یک چکلیست جامع و کاربردی است که به شما کمک میکند تا لایههای دفاعی قدرتمندی را پیرامون سرور ویندوز خود ایجاد کنید.
بخش اول: امنیت احراز هویت (کاربران و رمزهای عبور)
اولین و مهمترین لایه دفاعی، کنترل کاربرانی است که تلاش میکنند به سرور شما وارد شوند.
۱. از رمزهای عبور بسیار قوی استفاده کنید
این سادهترین اما موثرترین قدم است. رمز عبور شما باید ترکیبی پیچیده از حروف بزرگ و کوچک، اعداد و نمادها (مانند @, #, $, %) باشد. هرگز از رمزهای قابل حدس زدن استفاده نکنید.آموزش کامل تغییر رمز در ویندوز سرور
۲. نام کاربری پیشفرض “Administrator” را تغییر دهید
تمام حملات خودکار، نام کاربری پیشفرض Administrator را هدف قرار میدهند. با تغییر یا غیرفعال کردن آن، کار را برای مهاجمان بسیار سختتر میکنید.
- یک کاربر جدید با دسترسی ادمین ایجاد کنید. (آموزش ساخت یوزر جدید)
- وارد سرور با کاربر جدید شوید.
- کاربر
Administratorرا به طور کامل غیرفعال (Disable) کنید.
۳. سیاست قفل شدن حساب کاربری (Account Lockout Policy) را فعال کنید
این یک سپر دفاعی قدرتمند در برابر حملات Brute-force است. با فعال کردن این سیاست، شما به ویندوز میگویید که اگر یک کاربر (یا یک ربات) چندین بار رمز عبور را اشتباه وارد کرد، حساب کاربری او برای مدتی قفل شود.
برای تنظیم این سیاست:
- منوی Start را باز کرده و
secpol.mscرا تایپ و اجرا کنید. - به مسیر
Account Policies > Account Lockout Policyبروید. - مقدار Account lockout threshold را روی یک عدد منطقی (مثلا 5 تلاش ناموفق) تنظیم کنید.
بخش دوم: امنیت شبکه (پورت و فایروال)
در این بخش، ما دسترسی به سرور از طریق شبکه را محدود میکنیم تا سطح حمله را کاهش دهیم.
۴. پورت پیشفرض ریموت دسکتاپ (3389) را تغییر دهید
۹۹٪ اسکنرهای خودکار فقط به دنبال پورت 3389 هستند. با تغییر این پورت به یک عدد دیگر (مثلا 3390 یا هر پورت دلخواه دیگری)، شما عملا از دید این رباتها پنهان میشوید. آموزش کامل و تصویری تغییر پورت ریموت دسکتاپ
۵. دسترسی به پورت RDP را در فایروال محدود کنید (بسیار مهم)
حتی اگر پورت را تغییر دهید، باز گذاشتن آن برای تمام IPهای جهان کار پرریسکی است. بهترین کار این است که در فایروال ویندوز (Windows Defender Firewall)، دسترسی به پورت RDP را فقط به آدرس IP ثابت (Static IP) خودتان یا محل کارتان محدود کنید.
با این کار، فقط شما میتوانید به سرور ریموت بزنید و تمام تلاشهای دیگران توسط فایروال مسدود خواهد شد.
بخش سوم: امنیت اتصال و سیستمعامل
۶. از فعال بودن Network Level Authentication (NLA) اطمینان حاصل کنید
NLA یک لایه امنیتی است که کاربر را **قبل از** برقراری کامل جلسه ریموت دسکتاپ و نمایش صفحه لاگین، احراز هویت میکند. این کار از منابع سرور در برابر حملات محافظت کرده و برخی از آسیبپذیریها را مسدود میکند. NLA در نسخههای جدید ویندوز سرور به صورت پیشفرض فعال است، اما همیشه ارزش بررسی را دارد.
برای بررسی، به مسیر System Properties > Remote Settings رفته و مطمئن شوید تیک گزینه “Allow connections only from computers running Remote Desktop with Network Level Authentication” فعال است.
۷. ویندوز سرور خود را همیشه بهروز نگه دارید
مایکروسافت به طور منظم آپدیتهای امنیتی برای ویندوز سرور منتشر میکند تا آسیبپذیریهای کشف شده را برطرف کند. مطمئن شوید که Windows Update فعال است و آخرین بهروزرسانیها همیشه روی سرور شما نصب میشوند.
امنیت یک فرآیند لایهلایه است. با اجرای این چکلیست، شما چندین لایه دفاعی قدرتمند ایجاد کردهاید: احراز هویت قوی، شبکه محدود شده و سیستمعامل بهروز. این اقدامات ریسک دسترسی غیرمجاز به سرور مجازی ویندوز شما را به شدت کاهش میدهد و به شما اجازه میدهد با خیال راحت از آن استفاده کنید.
فهرست تیترها