RDPポートの変更とアカウント ロックアウトの設定

chakemiです。本日は2本立て(?)です。

ここ最近、Windowsのリモートデスクトップの待受ポートの3389番ポートに対するスキャンが増加しているようです。 Windowsのリモートデスクトップで使うポートへの攻撃が急増中、JPCERT/CCが注意喚起

普通にPCを使う程度なら、リモートデスクトップを使うことなんてないし、使っている人なら知ってる事と思いますが 備忘録として、リモートデスクトップの待受ポートの変更方法をメモ。

実行環境:WindowsXP SP3

レジストリの書き換えになるため、自己責任でおこなってください。

Windowsスタートメニューを開いて「ファイル名を指定して実行」もしくはWindowsキー+Rで、実行するプログラム名に「regedit」と入力

「レジストリエディタ」が起動したら、「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber」探して、右クリックから修正を開きます。

ラジオボタンの10進数を選択すると、現在割り当てられている「3389」と表示されると思います。 10進数を選択した状態で、変更したいポート番号を入力してOKをクリックします。 ※当然未使用のポート番号を入力してください。

後はPCを再起動して変更の完了です。

このPCにリモートデスクトップで接続する際は、IPの後に「:ポート番号」を付ける必要があります。 また、アカウントにログイン失敗回数の制限をかけるのも効果的ではないかと思います。

こちらは、管理者権限のあるアカウントでログインし、コントロールパネルの「管理ツール」を開きます。 そこから「ローカルセキュリティポリシー」を開いて、「アカウントポリシー」-「アカウント ロックアウトのポリシー」を開きます。

「アカウントのロックアウトのしきい値」をダブルクリックしてアカウントロックアウトまでの回数(0~999)を指定します。 ちなみにadministratorアカウントは制限されません。

また閾値を設定すると、「ロックアウト カウントのリセット」も変更1~99999分できるようになります。(デフォルトは30分)

当然Administratorアカウント使ってリモートデスクトップしてたら意味ないですけど。。。

Comments