当服务器的安全日志中出现了大量的审核失败的登录,如下图所示,则是受到了外部攻击。如果不解决的话,一直会产生新日志,时间长了可能会占满C盘。
这就是3389终端攻击,3389是默认的远程端口,主要通过3389破解登陆器(tscrack)来实现的。我们可以直接修改掉远程端口进行防护。修改端口使用附件中的ChangePort.bat文件(点击下载),双击即可使用,界面如下图:
我们一般修改端口为63389(与运维部门规则保持一致),输入端口号回车即可,不要忘记修改防火墙的通行端口,不然开启了防火墙之后会远程不上去。如下图所示,UDP跟TCP都要添加一遍。重启服务就可生效。
ps: 要先加入站规则,再修改端口才稳妥,反之会直接断开远程导致你无法操作!
1.防火墙中设置
1.控制面板——windows防火墙——高级设置——入站规则——新建规则——端口——特定端口tcp(如13688)——允许连接 2.完成以上操作之后右击该条规则作用域——本地ip地址——任何ip地址——远程ip地址——下列ip地址—— 添加管理者ip 同理其它端口可以通过此功能对特定网段屏蔽(如80端口)。
请注意:不是专线的网络的IP地址经常变,不适合限定IP。
2.运行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp] 和 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\WinStations\RDP-TCP],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如13688
3.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\ RDP\Tcp],将PortNumber的值(默认是3389)修改成端口13688(自定义)。
4.重新启动电脑,以后远程登录的时候使用端口13688就可以了。 【https://jingyan.baidu.com/article/92255446a96807851648f4c5.html】
微信公众号