Conexão com a área de trabalho remota do Windows (protocolo MS RDP)

Conexão com a área de trabalho remota do Windows (protocolo MS RDP)

Embora esse assunto possa ser incluído no tópico dedicado a configurações e recomendações de PCs, acho que é importante o suficiente para ter seu próprio tópico, a fim de facilitar a localização para iniciantes em SQ, especialmente depois que vi que há um interesse crescente neste fórum em usar um PC remotamente.

Para ser muito breve e direto ao ponto, vou citar um artigo muito bom:

O que você pode fazer se precisar colocar o RDP na Internet? Em primeiro lugar, não faça isso. Sério, não faça isso.

Para proteger as conexões RDP, as recomendações a seguir são:

-alterar a porta padrão 3389 no registro do Windows e no menu de configurações do roteador
-permitir a autenticação em nível de rede NLA
-instalar um software antivírus/segurança da Internet
-Coloque senhas complexas (uma frase secreta longa com mais de 15 caracteres, sem frases relacionadas à empresa, aos nomes dos produtos ou aos usuários, é obrigatória)

Os itens acima são fáceis e gratuitos, os seguintes são mais complexos e alguns exigem assinatura paga

-Instalar a autenticação de dois fatores (2FA), um tipo de autenticação multifator (MFA), senha + SMS
-Instale um gateway de rede privada virtual (VPN) para intermediar todas as conexões RDP de fora de sua rede local.
- Um servidor Remote Desktop Gateway

alguns artigos muito bons e úteis:

Proteja seu computador modificando o número da porta RDP padrão | Alexander's Blog (zubairalexander.com)

https://www.zubairalexander.com/blog/secure-your-computer-by-modifying-the-default-rdp-port-number/

Aventuras de um Honeypot RDP - Parte Um: Segurança RDP | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-one-rdp-security/

Aventuras de um honeypot RDP - Parte dois: conheça seu inimigo | TrustedSec

https://www.trustedsec.com/blog/adventures-of-an-rdp-honeypot-part-two-know-you-enemy/

Portanto, deixar um RDP em uma configuração padrão simples é puro suicídio

Gostaria de acrescentar algumas informações adicionais

Eu não especifiquei, mas todas essas medidas para o RDP são para a situação em que o usuário precisa se conectar fora da rede local, de outro local

Além das medidas acima, algumas outras podem ser implementadas:

https://tweaks.com/windows/39140/create-an-account-lockout-policy/

- Criar uma política de bloqueio de conta: A criação de uma política de bloqueio de conta protegerá sua conta, limitando o número de vezes que um aplicativo remoto ou invasor pode tentar adivinhar sua senha. Isso funciona bloqueando automaticamente sua conta depois que um determinado número de senhas incorretas for inserido. Sua conta permanecerá bloqueada por um determinado período de tempo antes de ser desbloqueada automaticamente e poder ser conectada novamente. Isso proporciona um acréscimo valioso à segurança de sua conta, pois pode tornar inúteis os ataques de força bruta à senha.

- Em nenhuma circunstância, não conceda acesso ao RDP à conta com o nome de usuário "Administrator" e, se possível, nunca use ou crie um usuário com o nome de usuário Administrator

Dada a idade avançada do RDP no Windows e as muitas etapas necessárias para protegê-lo, é compreensível que as alternativas sejam muito mais confiáveis e seguras e, no futuro próximo, escreverei aqui e apresentarei as melhores alternativas

Também escreverei aqui sobre outro recurso muito útil, o Wake On LAN

Em meus servidores VPS, estou fazendo apenas duas coisas: alterar a porta e usar uma senha forte.

4 anos de operação - nenhum problema

Sim, usuários mais avançados/experientes podem usá-lo, mas especialmente os iniciantes devem entender muito bem a diferença entre algo aberto e não aberto para a Internet. Porque, por mais seguro que seja o RDP, ele é aberto por sua própria concepção. Quando você encaminha a porta, ela está aberta. É uma distinção muito importante.

Por outro lado, qualquer software remoto de terceiros, gratuito ou pago, não exige que o computador esteja aberto na Internet, nem encaminhamento de porta.

Portanto, para iniciantes, é necessário um serviço de VPN ou um software remoto confiável de terceiros.

Também o utilizo no momento, momentaneamente, mas estou em processo de mudança permanente em um futuro próximo para algo mais seguro porque, depois de ler muitos artigos confiáveis, ele é muito inseguro e corre o risco constante de ser hackeado, e muitos vírus modernos podem se espalhar dentro da rede local.

Uma assinatura de VPN também é uma alternativa atraente

Experimente o TeamViewer!

 

https://www.teamviewer.com/

 

É uma solução gratuita e muito mais fácil para acessar remotamente seu PC em uma rede doméstica de qualquer lugar!