Для обеспечения дополнительной безопасности Windows Server, рекомендуется ограничивать доступ к серверу. Сделать это можно несколькими способами, самый простой и быстрый - разрешить доступ к серверу только с определенного IP или диапазона IP адресов. Реализуем это, используя встроенную систему защиты сервера - firewall (или брандмауэр).
Перед настройкой доступа по IP, следует обратить внимание, что смена Вашего внешнего IP, с котрого доступ будет разрешен, заблокирует доступ к серверу по RDP. В этом случае, необходимо знать, как подключиться к серверу напрямую по VNС (Вы всегда можете подключиться к серверу, используя окно VNC/IPMI-подключения) и исправить ситуацию.
Приступим:
1. Подключитесь к серверу по RDP
2. Откройте Панель управления сервером (Панель управления / Control Panel )
3. Перейдите в раздел Система и безопасность ( System and Security)
4. Далее - "Брандмауэр защитника Windows" ( Windows Firewall )
5. Справа, в списке меню выбираем "Дополнительные параметры" ( Advanced settings )
6. В открывшемся окне, справа в меню выберите "Правила для входящих подключений" ( Inbound Rules ).
7. В списке правил необходимо найти правило под названием "Удаленный рабочий стол - пользовательский режим (входящий трафик TCP)" ( Remote Desktop - User Mode (TCP-In) ) и выбрать его Свойства ( Properties)
8. В открывшемся окне свойств данного правила, во вкладке "Область" ( Scope) можно указать определенный IP или диапазон IP, с которых разрешено подключение к серверу по RDP. Для этого необходимо в разделе "Удаленный IP адрес" ( Remote IP address ) выбрать "Указанные IP адреса" ( These IP addresses ) и нажать "Добавить" (Add )
9. Для указания конкретного IP (или подсети) выберите "IP адрес или подсеть" ( This IP address or subnet )
Для указания диапазона IP выберите "Диапазон IP адресов" ( This IP adddress range )
10. Нажмите кнопку OK для применения настроек.
По умолчанию, при подключении к серверу по RDP, используется TCP и UDP протоколы. Но может быть ситуация, что один из протоколов (как правило, нестабильный UDP) отключен. В этом случает необходимо изменять свойства того правила, протокол которого используется для подключения. Например, по умолчанию, это оба правила: "Удаленный рабочий стол - пользовательский режим (входящий трафик TCP)" и "Удаленный рабочий стол - пользовательский режим (входящий трафик UDP)"
Таким образом, мы научились ограничивать доступ к серверу с операционной системой Windows Server по IP адресу или диапазону IP адресов.