Мой веб-сервер находится в США, и доступ к нему осуществляется из моего дома в Канаде с помощью подключения к удаленному рабочему столу, стандартного порта.
Неавторизованные лица пытались войти в систему из разных стран, некоторые пытались более 10000 раз в день, пока в конце концов не сдались.
если порт RDP изменен на нестандартный, очень вероятно, что эти люди будут просто перебирать порты, пока не найдут переназначенный порт RDP, а затем продолжат попытки перебора пароля?
Я опасаюсь неизвестности, что изменение порта будет сделано мной через подключение к удаленному рабочему столу; это безопасно?
Каков риск заблокироваться?
Кроме того, вместо того, чтобы указывать RDC перейти на «мой IP-адрес сервера», должен ли будущий доступ быть выражен как «IP-адрес моего сервера: новый порт RDP»?
Риск потери доступа к серверу при изменении порта RDP невелик, но он все же остается.
Перед изменением порта RDP проверьте все брандмауэры, за которыми находится сервер, и убедитесь, что новый порт не заблокирован.
Кроме того, убедитесь, что вы можете получить доступ к консоли при необходимости (удаленные руки, друг, у которого есть доступ к серверу, удаленный IP KVM, что угодно). В любом случае это, вероятно, хорошо для любого сервера.
Чтобы ответить на ваш последний вопрос, да, вам придется каждый раз указывать номер порта в RDP-соединении.
И последний совет: даже если вы меняете номер порта, который прослушивает RDP, злоумышленник все еще может устанавливать соединения. Убедитесь, что все учетные записи имеют надежные пароли и, если возможно, отключите учетную запись администратора.
if the RDP port is changed to a non-standard port, it is very likely that these people will simply iterate ports until they locate the re-assigned RDP port and then continue to try to brute force the password? - Да, это наверняка случится.
My fear of the unknown is that to change the port it would be done by me via Remote Desktop Connection; is it safe? - Это безопасно для текущей сессии. Для изменения порта прослушивания по умолчанию требуется перезагрузка сервера, поэтому все будет в порядке, пока не перезагрузите сервер после внесения этого изменения.
What is the risk of locking myself out? - Довольно низко для существующей сессии. Риск заключается в том, что после внесения изменений и перезагрузки сервера вам может быть отказано в доступе к серверу, если перед сервером установлен сетевой брандмауэр, который позволяет подключаться к серверу только через порт по умолчанию.
Also, instead of telling RDC to go to "my server ip address", would future access have to be expressed as "my server ip address:new RDP port"? - Да.
IMHO небезопасно открывать RDP напрямую в Интернет. Я рекомендую рассмотреть возможность использования VPN, как уже упоминалось. Если есть причина не использовать VPN. Измените порт в правиле NAT вашего брандмауэра и настройте правила, которые блокируют сканирование портов людьми.
Не пытайтесь изменить порт RDP на сервере.
Не ожидайте, что изменение номера порта автоматически сделает RDP безопасным.
Установите перед вашим сервером брандмауэр, который может контролировать трафик RDP на ваш сервер и с него.
Настройте брандмауэр на пересылку трафика с нестандартного порта на стандартный порт RDP 3389. Я объясню почему ниже. Насколько мне известно, встроенный брандмауэр Windows этого не сделает, но другие брандмауэры будут.
Настройте брандмауэр, чтобы разрешить трафик на порт RDP из вашей домашней системы и запретить RDP для всего остального. В зависимости от брандмауэра и других параметров это может означать получение статического IP-адреса для вашей домашней системы или настройку динамической службы DNS, или это может означать написание правил брандмауэра на основе известных MAC-адресов, которые вы используете.
Чтобы избежать переноса этой проблемы на интерфейс вашего брандмауэра, вы должны настроить его так, чтобы ваш брандмауэр можно было настроить только через RDP. Даже в этом случае это должно снизить риск того, что вы заблокируете себя. Это достигается путем настройки нестандартного правила переадресации портов на вашем брандмауэре в дополнение к стандартному порту RDP, чтобы вы могли безопасно протестировать новое правило. Напишите правило брандмауэра для нужного порта, проверьте, блокирует ли он доступ из произвольного места (например, библиотеки), но по-прежнему разрешает доступ из дома. Затем заблокируйте доступ к обычному порту после успешного тестирования правила (или наоборот: используйте нестандартный порт в качестве защиты, пока вы не протестируете правило на стандартном порте).
И, конечно же, вам действительно нужно здесь настроить VPN-соединение с вашим сервером ... но даже с VPN-соединением вам понадобится брандмауэр, контролирующий доступ.