透過Windows防火牆來限制遠端桌面只允許某些IP可監聽
這次的目標有點反向,我們都知道一張網卡其實可以綁定多組IP,但是當我們開啟了Windows的遠端桌面允許連入之設定後,Windows其實會讓所有的IP都處於監聽狀態0.0.0.0:3389 / LISTENING,這樣的情況下我們可以透過Windows防火牆來限制遠端桌面只允許這張網卡下的某些IP可監聽(例如我們只想讓此電腦的私有IP:192.168.1.10處於監聽狀態),避免把遠端桌面的連線直接暴露在公開IP之下。
Windows遠端桌面無法設定單一IP監聽
在Windows的遠端桌面設定中,我們無法直接指定某個IP來監聽,這是因為Windows的遠端桌面服務會自動將所有的IP都設為監聽狀態。這樣的設計雖然方便,但在某些情況下可能會造成安全隱患。
但好險Windows防火牆可以幫助我們解決這個問題,讓我們能夠限制遠端桌面只允許某些IP可監聽。請跟著下方的步驟進行設定即可:
Step 1. 開啟Windows防火牆,Win + R,輸入wf.msc然後按下Enter鍵。
Step 2. 在左側的選單中選擇輸入規則,然後在右側的操作面板中找到遠端桌面 - XXXX共3筆資料,點擊第1筆規則並打開領域頁籤。
Step 3. 在本機IP位址處點選這些IP位址,然後將(假設)192.168.1.10新增到列表裡,並點選確定。
Step 4. 之後再針對剩下的第2筆、第3筆重複1~3的步驟,就達成期望目的了。
結論
Windows遠端桌面無法指定哪個IP來監聽,但我們可以透過Windows防火牆來限制遠端桌面只允許某些IP可監聽,透過這樣的手法來達成讓公眾IP不可連入RDP的風險規避。