همه سامانه‌ها فعال هستند 21 ارزهای دیجیتال پذیرفته‌شده · پذیرای مونرو سیاست بدون KYC
ChainVPS

آموزش‌ها

چگونه یک سرور ویندوز RDP را راه‌اندازی و ایمن کنید

از یک دستگاه ویندوز تازه تا یک دسکتاپ راه دور آفشور و مقاوم‌سازی‌شده — تنظیماتی که واقعاً مهاجمان را متوقف می‌کنند، و انتخاب‌های تأمین که سرور را به نام شما نگه نمی‌دارند.

آموزش‌ها7 دقیقه مطالعه readتیم ChainVPS

چگونه یک سرور ویندوز RDP را راه‌اندازی و ایمن کنید

امنیت یک سرور Windows RDP دقیقاً به اندازه‌ی روزی است که آن را سخت‌سازی کرده‌اید — این راهنما شما را از یک سرور تازه تا یک دسکتاپ ریموت آفشور کاملاً قفل‌شده و قابل‌اعتماد همراهی می‌کند.

پروتکل دسکتاپ ریموت (RDP) سریع‌ترین راه برای اجرای یک محیط کامل ویندوز از هر نقطه است، اما در عین حال یکی از سرویس‌هایی است که بی‌وقفه در اینترنت اسکن می‌شود. پیکربندی پیش‌فرض آن به همان اندازه که راحت است، خطرناک نیز هست.

این راهنما به کار اصلی می‌پردازد: راه‌اندازی اولیه Windows RDP، تنظیماتی که واقعاً جلوی حملات brute-force و بهره‌برداری از آسیب‌پذیری‌ها را می‌گیرند، و اینکه چگونه کل فرآیند را از همان مرحله تهیه سرور تا استفاده روزانه، آفشور نگه دارید.

چیزی که واقعاً در حال راه‌اندازی آن هستید

RDP به‌صورت پیش‌فرض در تمام نسخه‌های Windows Server و Windows Pro وجود دارد. این پروتکل یک دسکتاپ گرافیکی را از طریق پورت TCP 3389 در معرض دید قرار می‌دهد که تنها با اعتبارنامه‌ها و قوانین شبکه‌ای که پیکربندی می‌کنید — یا پیکربندی نمی‌کنید — محافظت می‌شود.

پروتکل

RDP دسکتاپ و ورودی‌ها را از طریق یک کانال رمزنگاری‌شده پخش می‌کند. رمزنگاری به‌تنهایی هویت کلاینت را احراز نمی‌کند — این دقیقاً همان کاری است که NLA انجام می‌دهد.

ریسک

پورت 3389 به‌طور مداوم و انبوه اسکن می‌شود. یک سرور در معرض دید با رمز عبور ضعیف، در عرض چند ساعت - نه چند هفته - نفوذ می‌شود.

هدف

سروری که فقط خودتان به آن دسترسی دارید، پیش از بارگذاری دسکتاپ احراز هویت می‌شود، و به هویت واقعی شما مرتبط نیست.

مرحله ۱ — فعال‌سازی و پیکربندی صحیح RDP

  1. 1

    فعال‌سازی Remote Desktop

    به مسیر System > Remote Desktop بروید و آن را فعال کنید. یا معادل آن در PowerShell را اجرا کنید: مقدار fDenyTSConnections را در کلید رجیستری Terminal Server برابر با 0 قرار دهید.

  2. 2

    الزامی کردن Network Level Authentication

    NLA را فعال کنید تا کلاینت‌ها پیش از ایجاد نشست، مجبور به احراز هویت شوند. همین یک تنظیم به‌تنهایی جلوی بخش بزرگی از حملات پیش از احراز هویت را می‌گیرد.

  3. 3

    ایجاد یک حساب مدیریتی اختصاصی

    هرگز RDP را با حساب Administrator داخلی اجرا نکنید. یک حساب با نام مشخص ایجاد کنید، یک عبارت عبور طولانی برای آن تعیین کنید و فقط همین حساب را به گروه Remote Desktop Users اضافه کنید.

  4. 4

    غیرفعال کردن حساب پیش‌فرض Administrator

    نام حساب Administrator داخلی را تغییر دهید یا آن را غیرفعال کنید تا ابزارهای خودکار نتوانند یک نام کاربری شناخته‌شده را هدف قرار دهند.

NLA باارزش‌ترین تنظیم در این فهرست است. اگر کلاینت شما از NLA پشتیبانی نمی‌کند، کلاینت را اصلاح کنید — آن را روی سرور غیرفعال نکنید.

مرحله ۲ — قفل کردن مسیر شبکه

بیشتر نفوذها به RDP، حاصل بهره‌برداری‌های هوشمندانه نیستند — بلکه حملات مبتنی بر اعتبارنامه علیه پورتی هستند که برای کل اینترنت باز مانده است. ابتدا این میزان در معرض دید بودن را کاهش دهید.

  • پورت گوش‌دهی را از 3389 به پورت دیگری تغییر دهید — این کار جلوی بیشتر اسکنرهای خودکار را می‌گیرد، هرچند این صرفاً پنهان‌کاری است، نه امنیت واقعی.
  • اگر یک آدرس IP ثابت برای اتصال دارید، قانون RDP در Windows Firewall را به IPهای مبدأ مشخصی محدود کنید.
  • بهتر از آن، اصلاً RDP را در معرض اینترنت عمومی قرار ندهید — آن را از طریق یک VPN یا اینترفیس WireGuard تونل کنید و پورت 3389 را فقط برای همان اینترفیس در فایروال باز بگذارید.
  • RDP را به‌طور کامل روی هر سروری که نیازی به ورود تعاملی ندارد، غیرفعال کنید.

هشدار: تغییر پورت در برابر یک مهاجم هدفمند صرفاً ظاهری است. آن را با فهرست‌سفید IP یا یک VPN ترکیب کنید — هرگز یک پورت غیراستاندارد را به‌عنوان مرز امنیتی در نظر نگیرید.

مرحله ۳ — سخت‌سازی احراز هویت

فرض کنید مهاجمان سرانجام پورت را پیدا خواهند کرد. خط دفاعی بعدی این است که اعتبارنامه‌ها را طوری بسازید که حدس زدنشان بی‌فایده و brute-force کردنشان دشوار باشد.

عبارات عبور طولانی

از عبارات عبور تصادفی با ۲۰ کاراکتر یا بیشتر استفاده کنید، نه رمزهای عبور به‌ظاهر هوشمندانه. در برابر روش‌های مدرن کرک کردن، طول از پیچیدگی مهم‌تر است.

سیاست قفل شدن حساب

یک آستانه قفل شدن تنظیم کنید تا تلاش‌های ناموفق مکرر، حساب را برای مدتی مسدود کند. این کار حمله brute-force را به مانعی برای پیشرفت خود مهاجم تبدیل می‌کند.

محدود کردن کاربران RDP

فقط حساب‌های موجود در گروه Remote Desktop Users می‌توانند وارد شوند. این گروه را تا حد امکان کوچک نگه دارید — در حالت ایده‌آل فقط یک حساب.

افزودن یک فاکتور دوم

در جایی که روند کاری‌تان اجازه می‌دهد، یک راهکار MFA یا گیت‌وی/گواهی را جلوی RDP قرار دهید. رمز عبور به‌تنهایی یک نقطه‌ی شکست منفرد است.

مرحله ۴ — به‌روزرسانی، ثبت رویداد و پایش

RDP سابقه‌ای از آسیب‌پذیری‌های جدی پیش از احراز هویت دارد. سروری که پچ نشده، صرف‌نظر از قدرت رمز عبورتان، قابل بهره‌برداری است.

  • Windows Update را همیشه به‌روز نگه دارید — بدترین آسیب‌پذیری‌های (CVE) RDP قابلیت انتشار خودکار (wormable) داشتند و مدت‌ها پیش از سوءاستفاده گسترده، پچ شدند.
  • ممیزی رویدادهای ورود (logon) را فعال کنید تا بتوانید ورودهای ناموفق و موفق را در Security event log مشاهده کنید.
  • به‌طور دوره‌ای Event ID 4625 (ورودهای ناموفق) و 4624 (ورودهای موفق) را بررسی کنید — افزایش ناگهانی در 4625 یعنی سرور شما در حال پروب شدن است.
  • از ابزاری استفاده کنید که پس از تلاش‌های ناموفق مکرر، IPها را به‌طور خودکار مسدود می‌کند تا کمپین‌های brute-force مداوم را خنثی کنید.

آفشور کردن سرور

سخت‌سازی از سرور محافظت می‌کند. حریم خصوصی از شما محافظت می‌کند. این دو، مسائل جداگانه‌ای هستند و بیشتر آموزش‌های RDP مورد دوم را به‌کلی نادیده می‌گیرند.

حریم خصوصی از لحظه‌ی تهیه سرور آغاز می‌شود

حریم خصوصی چیزی نیست که بتوانید بعداً به سرور اضافه کنید. اگر سرور با نام واقعی، ایمیل و کارت شما سفارش داده شده باشد، سرور از نظر فنی سخت‌سازی شده اما از نظر هویتی در معرض دید است. ردپای هویتی شما درست در لحظه‌ی پرداخت شکل می‌گیرد.

  • سرور را از میزبانی تهیه کنید که برای راه‌اندازی سرور نیازی به KYC یا تأیید هویت شخصی ندارد.
  • به‌جای کارتی که به نام شماست، از یک موجودی پیش‌پرداخت رمزارزی پرداخت کنید — به‌ویژه Monero که هیچ ردی در دفتر کل عمومی باقی نمی‌گذارد.
  • برای این حساب از یک ایمیل مستعار اختصاصی استفاده کنید، نه صندوق ورودی اصلی خود.
  • به سرور نهایی از طریق یک VPN یا مسیری سازگار با Tor متصل شوید تا IP واقعی شما هرگز مستقیماً با پورت 3389 در تماس نباشد.

این دقیقاً همان مدلی است که ChainVPS بر پایه‌ی آن ساخته شده. سرورهای RDP آفشور ما بدون KYC تهیه می‌شوند و از موجودی پیش‌پرداخت رمزارزی در میان 21 ارز از جمله Monero پرداخت می‌شوند، بنابراین دستگاه هرگز به یک هویت واقعی مرتبط نمی‌شود — برای مشاهده‌ی پیکربندی‌های فعلی ویندوز به صفحه‌ی /offshore-rdp مراجعه کنید.

نکته‌ی کلیدی: یک سرور RDP امن که با هویت واقعی شما سفارش داده شده، همچنان یک ریسک برای حریم خصوصی است. حریم خصوصی یک تصمیم در مرحله‌ی تهیه سرور است، نه یک گزینه که بعد از راه‌اندازی تیک بزنید.

انتخاب محل استقرار سرور

برای یک پیکربندی مبتنی بر حریم خصوصی، حوزه‌ی قضایی به همان اندازه‌ی پیکربندی فنی اهمیت دارد. سروری که در مکانی با حفاظت قوی از داده‌ها و بدون افراط در نگه‌داری داده قرار دارد، به‌مراتب سخت‌تر می‌توان مجبورش کرد اطلاعات را افشا کند.

مکان‌های سطح حریم خصوصیNL, CH, RO, IS, MD, LU
مجموع مکان‌ها15 در سراسر جهان
پهنای باندنامحدود
محافظت DDoSبه‌صورت پیش‌فرض شامل می‌شود
مدل پرداختشارژ پیش‌پرداخت، 21 ارز از جمله Monero

انتخاب یک منطقه‌ی دارای سطح حریم خصوصی بالا مانند سوئیس یا ایسلند، سخت‌سازی فنی بالا را با یک محیط قانونی که به آن احترام می‌گذارد، همراه می‌کند. برای بارهای کاری تعاملی سنگین‌تر، همین مدل آفشور به سرورهای اختصاصی (dedicated) و GPU ما نیز گسترش می‌یابد.

یک چک‌لیست فشرده پیش از راه‌اندازی

  • NLA فعال و الزامی شده باشد.
  • حساب Administrator داخلی غیرفعال شده باشد؛ فقط یک حساب با نام مشخص در گروه Remote Desktop Users باشد.
  • RDP در معرض اینترنت باز نباشد — از VPN، فهرست‌سفید IP، یا هر دو استفاده شود.
  • یک عبارت عبور تصادفی طولانی به همراه سیاست قفل شدن حساب.
  • ویندوز کاملاً پچ شده و ممیزی ورود (logon auditing) فعال باشد.
  • سرور بدون KYC تهیه شده و از موجودی پیش‌پرداخت رمزارزی پرداخت شده باشد.
آیا تغییر پورت RDP از 3389 برای ایمن‌سازی آن کافی است؟

خیر. این کار شما را از دید اسکنرهای بی‌هدف پنهان می‌کند اما در برابر مهاجمی هدفمند که همه‌ی پورت‌ها را اسکن می‌کند، کاری از پیش نمی‌برد. آن را صرفاً کاهش نویز در نظر بگیرید و آن را با NLA، محدودیت‌های IP یا یک VPN، و سیاست قوی قفل شدن حساب ترکیب کنید.

Network Level Authentication چیست و چرا اهمیت دارد؟

NLA کلاینت را مجبور می‌کند پیش از ایجاد نشست دسکتاپ توسط ویندوز، احراز هویت شود. این کار جلوی طیف گسترده‌ای از حملات پیش از احراز هویت را می‌گیرد و منابعی را که مهاجم می‌تواند مصرف کند کاهش می‌دهد؛ به همین دلیل هرگز نباید آن را غیرفعال کرد.

آیا یک سرور RDP واقعاً می‌تواند آفشور باشد؟

بله، اما فقط در صورتی که حریم خصوصی از همان مرحله‌ی تهیه سرور در نظر گرفته شده باشد. از یک میزبان بدون KYC سفارش دهید، از موجودی پیش‌پرداخت رمزارزی مانند Monero پرداخت کنید، از یک ایمیل مستعار استفاده کنید و از طریق VPN متصل شوید تا IP واقعی شما هرگز با سرور در تماس نباشد.

برای یک سرور RDP خصوصی چه مکانی را انتخاب کنم؟

یک حوزه‌ی قضایی با سطح حریم خصوصی بالا و حفاظت قوی از داده‌ها — ChainVPS در میان 15 مکان خود، NL، CH، RO، IS، MD و LU را ارائه می‌دهد. ترکیب یک محیط قانونی قوی با مراحل سخت‌سازی بالا، بهترین وضعیت کلی را برایتان فراهم می‌کند.

آن را در عمل پیاده کنید.

یک سرور آفشور را از $3.49/mo مستقر کنید · 21 ارز دیجیتال · بدون KYC.