خادم RDP على Windows لا يكون آمنًا إلا بقدر ما قمت بتحصينه — يأخذك هذا الدليل من جهاز جديد بالكامل إلى سطح مكتب بعيد خارجي محكم الإغلاق يمكنك الوثوق به فعليًا.
بروتوكول سطح المكتب البعيد (RDP) هو أسرع طريقة لتشغيل بيئة Windows كاملة من أي مكان، لكنه أيضًا واحد من أكثر الخدمات التي يتم فحصها بلا هوادة على الإنترنت. الإعداد الافتراضي مريح وخطير بالقدر نفسه.
يغطي هذا الدليل العمل الفعلي: الإعداد الأولي لـ RDP على Windows، والإعدادات التي توقف فعليًا هجمات القوة الغاشمة (brute-force) والاستغلال، وكيفية إبقاء كل شيء خارجيًا من مرحلة التزويد وحتى الاستخدام اليومي.
ما الذي تقوم بإعداده فعليًا
يأتي RDP مدمجًا مع كل إصدار من Windows Server وWindows Pro. فهو يعرض سطح مكتب رسوميًا عبر منفذ TCP رقم 3389 افتراضيًا، محميًا بأي بيانات اعتماد وقواعد شبكة تقوم بتهيئتها — أو تفشل في تهيئتها.
البروتوكول
يبثّ RDP سطح المكتب والمدخلات عبر قناة مشفّرة. التشفير وحده لا يُثبت هوية العميل — وهذا هو الغرض من NLA.
الخطر
يخضع المنفذ 3389 لفحص جماعي مستمر. أي خادم مكشوف بكلمة مرور ضعيفة يتم اختراقه خلال ساعات، لا أسابيع.
الهدف
خادم لا يمكن الوصول إليه إلا من قِبلك، تتم المصادقة عليه قبل تحميل سطح المكتب، وغير مرتبط بهويتك الحقيقية.
الخطوة 1 — تفعيل RDP وتهيئته بشكل صحيح
- 1
تفعيل سطح المكتب البعيد
System > Remote Desktop، ثم فعّله. أو نفّذ الأمر المكافئ في PowerShell: قم بتعيين fDenyTSConnections إلى 0 في مفتاح تسجيل Terminal Server.
- 2
طلب المصادقة على مستوى الشبكة (NLA)
فعّل NLA حتى يضطر العملاء إلى المصادقة قبل إنشاء الجلسة. هذا الإجراء وحده يمنع فئة كبيرة من الهجمات التي تسبق المصادقة.
- 3
أنشئ حساب مسؤول مخصصًا
لا تشغّل RDP أبدًا باستخدام حساب Administrator المدمج. أنشئ حسابًا باسم مخصص، وامنحه عبارة مرور طويلة، وأضفه وحده إلى مجموعة Remote Desktop Users.
- 4
عطّل حساب Administrator الافتراضي
أعد تسمية حساب Administrator المدمج أو عطّله حتى لا تتمكن الأدوات الآلية من استهداف اسم مستخدم معروف.
NLA هو أهم إعداد وحيد في هذه القائمة. إذا كان عميلك لا يدعم NLA، فأصلح العميل — لا تعطّله على الخادم.
الخطوة 2 — إحكام تأمين مسار الشبكة
معظم عمليات اختراق RDP ليست استغلالات ذكية — بل هي هجمات على بيانات الاعتماد ضد منفذ تُرك مفتوحًا أمام الإنترنت بأكمله. قلّص هذا التعرض أولاً.
- غيّر منفذ الاستماع بعيدًا عن 3389 — هذا يوقف معظم أدوات الفحص الآلية، رغم أنه تمويه وليس أمانًا حقيقيًا.
- قيّد قاعدة RDP في جدار حماية Windows بعناوين IP مصدر محددة إذا كان لديك عنوان ثابت تتصل منه.
- والأفضل من ذلك، لا تعرّض RDP للإنترنت العام إطلاقًا — مرّره عبر نفق VPN أو واجهة WireGuard واحصر المنفذ 3389 بتلك الواجهة فقط.
- عطّل RDP كليًا على أي خادم لا يحتاج إلى تسجيل دخول تفاعلي.
تحذير: تغيير المنفذ إجراء تجميلي أمام مهاجم مستهدف. اجمع بينه وبين قائمة السماح بعناوين IP أو VPN — لا تعامل أبدًا المنفذ غير القياسي كحد أمني.
الخطوة 3 — تحصين المصادقة
افترض أن المهاجمين سيجدون المنفذ في نهاية المطاف. خط الدفاع التالي هو جعل بيانات الاعتماد عديمة الفائدة للتخمين ومؤلمة لهجمات القوة الغاشمة.
عبارات مرور طويلة
استخدم عبارات مرور عشوائية لا تقل عن 20 حرفًا، وليس كلمات مرور تبدو ذكية. الطول يتفوق على التعقيد أمام أساليب الكسر الحديثة.
سياسة قفل الحساب
حدّد عتبة قفل بحيث تؤدي المحاولات الفاشلة المتكررة إلى تجميد الحساب لفترة. هذا يحوّل هجوم القوة الغاشمة إلى عائق يعطّل تقدّم المهاجم نفسه.
قيّد مستخدمي RDP
لا يمكن تسجيل الدخول إلا للحسابات الموجودة في مجموعة Remote Desktop Users. حافظ على هذه المجموعة بأصغر حجم ممكن — والأمثل أن تضم حسابًا واحدًا فقط.
أضف عامل مصادقة ثانيًا
أضف طبقة من حل MFA أو شهادة/بوابة أمام RDP حيثما يسمح سير عملك بذلك. كلمة المرور وحدها نقطة فشل واحدة.
الخطوة 4 — التحديث والتسجيل والمراقبة
لدى RDP سجل حافل بثغرات خطيرة تسبق المصادقة. الخادم غير المحدَّث قابل للاستغلال بغض النظر عن مدى قوة كلمة مرورك.
- أبقِ Windows Update محدّثًا — أخطر ثغرات RDP (CVEs) كانت قابلة للانتشار الذاتي (wormable) وتم إصلاحها قبل وقت طويل من استغلالها على نطاق واسع.
- فعّل تدقيق أحداث تسجيل الدخول حتى تتمكن من رؤية محاولات الدخول الفاشلة والناجحة في سجل أحداث الأمان (Security event log).
- راجع دوريًا معرّف الحدث Event ID 4625 (محاولات الدخول الفاشلة) و4624 (الناجحة) — أي ارتفاع مفاجئ في 4625 يعني أنك تتعرض للفحص.
- فكّر في استخدام أداة تحظر عناوين IP تلقائيًا بعد محاولات فاشلة متكررة لإضعاف حملات القوة الغاشمة المستمرة.
جعله خارجيًا
التحصين يحمي الخادم. الخصوصية تحميك أنت. هاتان مشكلتان منفصلتان، ومعظم دروس RDP تتجاهل الثانية تمامًا.
الخصوصية تبدأ من مرحلة التزويد
لا يمكنك إضافة الخصوصية لاحقًا بعد فوات الأوان. إذا طُلب الخادم باسمك الحقيقي وبريدك الإلكتروني وبطاقتك، فسيكون الجهاز محصنًا تقنيًا لكنه مكشوف شخصيًا. أثر الهوية يتحدد في اللحظة التي تدفع فيها.
- زوّد الخادم عبر مزوّد استضافة لا يتطلب KYC أو تحققًا شخصيًا لإنشاء الخادم.
- ادفع من رصيد مسبق الدفع بالعملات الرقمية بدلاً من بطاقة مرتبطة باسمك — فعملة Monero تحديدًا لا تترك أثرًا في سجل عام.
- استخدم بريدًا إلكترونيًا مستعارًا مخصصًا للحساب، وليس بريدك الرئيسي.
- اتصل بالخادم النهائي عبر VPN أو مسار متوافق مع Tor حتى لا يكون عنوان IP الحقيقي الخاص بك هو من يلامس المنفذ 3389 أبدًا.
هذا هو بالضبط النموذج الذي بُنيت عليه ChainVPS. تُزوَّد خوادم RDP الخارجية لدينا بدون KYC وتُدفع من رصيد مسبق الدفع بالعملات الرقمية عبر 21 عملة تشمل Monero، بحيث لا يُربط الجهاز أبدًا بهوية واقعية — راجع صفحة /offshore-rdp للاطلاع على تهيئات Windows الحالية.
الخلاصة الأساسية: خادم RDP آمن مطلوب تحت هويتك الحقيقية يظل عبئًا على خصوصيتك. الخصوصية قرار يُتخذ عند التزويد، لا خانة تُحدّد لاحقًا بعد الإعداد.
اختيار مكان وجود الخادم
الولاية القضائية لا تقل أهمية عن التهيئة في إعداد يضع الخصوصية أولاً. الخادم الموجود في موقع يتمتع بحماية بيانات قوية ودون تجاوزات في الاحتفاظ بالبيانات يكون أصعب بكثير على الإكراه القانوني.
اختيار منطقة ذات مستوى خصوصية عالٍ مثل سويسرا أو آيسلندا يجمع بين التحصين التقني المذكور أعلاه وبيئة قانونية تحترمه. أما بالنسبة لأحمال العمل التفاعلية الأثقل، فينطبق النموذج الخارجي نفسه على خوادمنا المخصصة وخوادم GPU.
قائمة تحقق محكمة قبل الإطلاق
- تفعيل NLA وفرضه.
- تعطيل حساب Administrator المدمج؛ ووجود حساب واحد باسم مخصص في مجموعة Remote Desktop Users.
- عدم تعريض RDP للإنترنت المفتوح — عبر VPN، أو قائمة سماح لعناوين IP، أو كليهما.
- عبارة مرور عشوائية طويلة إلى جانب سياسة قفل الحساب.
- تحديث Windows بالكامل وتفعيل تدقيق تسجيل الدخول.
- تزويد الخادم بدون KYC والدفع من رصيد مسبق الدفع بالعملات الرقمية.
هل يكفي تغيير منفذ RDP من 3389 لتأمينه؟
لا. فهو يخفيك عن أدوات الفحص العشوائية لكنه لا يفعل شيئًا أمام مهاجم مستهدف يفحص جميع المنافذ. تعامل معه كإجراء لتقليل الضوضاء واجمع بينه وبين NLA، وقيود IP أو VPN، وسياسة قفل حساب قوية.
ما هي المصادقة على مستوى الشبكة (NLA) ولماذا هي مهمة؟
تُجبر NLA العميل على المصادقة قبل أن يُنشئ Windows جلسة سطح مكتب. هذا يمنع فئة واسعة من الهجمات التي تسبق المصادقة ويقلل الموارد التي يمكن للمهاجم استهلاكها، ولهذا السبب لا ينبغي تعطيلها أبدًا.
هل يمكن لخادم RDP أن يكون خارجيًا فعلاً؟
نعم، لكن فقط إذا كانت الخصوصية مدمجة منذ مرحلة التزويد. اطلب من مزوّد استضافة لا يتطلب KYC، وادفع من رصيد مسبق الدفع بعملة مثل Monero، واستخدم بريدًا إلكترونيًا مستعارًا، واتصل عبر VPN حتى لا يلامس عنوان IP الحقيقي الخادم أبدًا.
أي موقع يجب أن أختاره لخادم RDP خاص؟
ولاية قضائية ذات مستوى خصوصية عالٍ وحماية بيانات قوية — تقدّم ChainVPS مواقع NL وCH وRO وIS وMD وLU من بين 15 موقعًا. الجمع بين بيئة قانونية قوية وخطوات التحصين المذكورة أعلاه يمنحك أفضل وضعية أمنية شاملة.


