在前面两篇文章中提到了,我的一个客户的Windows美国服务器被入侵,但凭借多年使用Hostease服务器的经验,很多的服务器只要安全设置到位的,系统是不会那么轻易被黑客给入侵的。这个通常都会和客户自己的安全设置有关,而事实也确实如此,我们通过第一篇文章中查询到的IP地址,进行整理合并,并为用户在他的主机上启用了防火墙后,接下去就需要将这些IP地址添加到防火墙。
最终确认了有80多个IP地址在尝试密码暴力破解Windows系统。本文主要指导如何启动Windows的防火墙,以及将这些恶意攻击的IP地址手动添加到Windows防火墙中。还不知道如何启用Hosteas防火墙的小伙伴可以翻看主页的【Windows运维系列2】如何启用Windows的防火墙(附Shell命令)
设置防火墙规则的地方有两个,一个是“允许应用通过防火墙”,另一个则是“高级设置”,但是那里的设置想对会比较单一,所以在今天的教程里,我们直接在“高级设置”中进行设置(如何进入这个界面我们在上篇文章有提到过,这里就不在赘述。)
如图:
在进入防火墙设置后,新版本的Windows和老版本的Windows的配置是一样的,在左侧选择“入站规则”,然后在右侧选择“新建规则”,在新建如站规则向导中,选择“端口(o)”,然后进行下一步,如下图:
在接下去的界面选择TCP(通常情况下远程桌面不会以UDP的形式传输数据,如果你的操作系统做过一些远程协议上的改动,那么这里不做额外的讲解。或在评论区留言,将在后续单独出教程。后面就不再单独说明为何选择TCP),在选择端口这里选择“特定本地端口”,并在后面填入远程桌面默认的“3389”端口,如下图:
然后在应用规则这里全选,并继续下一步,如图:
最后为你的这个规则起一个名称
然后在入站规则中找到刚才添加的“RDP黑名单”,然后选择作用域,贴在远程IP地址中添加需要Block的IP地址
最后,回到常规,并选择阻止连接(B)确定就完成了黑名单的设置。
到这里就已经将所有的P地址给加入到了黑名单,可以通过【Windows运维系列1】查询Windows服务器登录的记录和IP地址(附Shell命令)来查看这些IP是否仍然在尝试登陆服务器,如果没有出现,则说明防火墙生效了。
此外你也可以针对指定IP添加白名单。在防火墙中,找到“远程桌面 - 用户模式(TCP-In)”然后通过同样的方式来添加远程IP地址,如图:
最后确认当前这条规则是允许指定IP连接这台服务器
至此,在远程桌面的IP地址黑名单和白名单都已经设置完毕,未经允许的IP地址将无法连接到服务器。
那么有些同学要问:我允许指定IP登陆服务器不久可以了嘛。情况也确实如此。但是禁止这些恶意 IP 地址访问远程桌面可以增加系统的安全性,防止潜在的攻击和入侵。通过阻止这些 IP 地址,你可以减少被攻击的风险,保护你的计算机和远程桌面连接的安全性。
下一个章节我们将修改你的Windows的服务器的远程端口,进一步提升你的网站安全性。如果文章对你有帮助,欢迎关注点赞和收藏哦!
1237
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
