如何加固 Windows 远程桌面安全性

通过配置网络级身份验证、更改默认端口及强化账户策略，有效加固 Windows 远程桌面连接，抵御外部入侵。

1. 强制开启网络级身份验证. 打开“设置”，导航至“系统” > “远程桌面”。确保“网络级身份验证 (NLA)”开关已开启，这将要求用户在建立连接前完成身份验证，从而有效防止未经授权的会话建立。
2. 通过注册表修改默认远程桌面端口. 按下 Win + R，输入 regedit 进入注册表编辑器。定位至 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，找到 PortNumber 并将其修改为 1024 至 65535 之间的非标准端口。重启计算机以应用更改。
3. 在防火墙中更新入站规则. 进入“Windows Defender 防火墙” > “高级设置”。在“入站规则”中找到所有关于“远程桌面”的规则，将 TCP 端口更新为您在注册表中配置的新端口号。确保仅允许特定受信任的 IP 地址访问该端口。
4. 限制远程桌面账户权限. 使用组合键 Win + R 输入 lusrmgr.msc。选择“组”，双击“Remote Desktop Users”，移除所有不必要的账户。仅保留必须通过远程访问的特定用户，严禁将管理员组加入此列表。
5. 配置账户锁定策略. 输入 secpol.msc 打开本地安全策略，导航至“账户策略” > “账户锁定策略”。设置“账户锁定阈值”，例如连续 5 次错误登录后锁定账户 30 分钟。此举可有效阻止字典攻击。