游客
使用IP安全策略限制远程桌面连接:仅允许指定IP访问

使用IP安全策略限制远程桌面连接:仅允许指定IP访问

一言准备中...

新建IP安全策略

  • 启动组策略编辑器:按 WIN+R 键,输入 gpedit.msc 并回车。
  • 定位策略路径:依次展开“本地计算机”策略 → 计算机配置 → Windows设置 → 安全设置 → IP安全策略,在本地计算机上。
  • 创建新策略:在右侧空白处右键,选择“创建IP安全策略”。
  • 策略向导设置
    • 点击“下一步”。
    • 在“名称”输入 3389过滤,点击“下一步”。
    • 取消勾选“激活默认响应规则”,点击“下一步”。
    • 勾选“编辑属性”,点击“完成”。

新建IP筛选器

  • 添加筛选器列表:在刚弹出的“新IP安全策略属性”对话框,取消使用“添加向导”,点击“添加”。
  • 创建放行规则
    • 在新弹出的“新规则属性”对话框,点击“添加”。
    • 命名:输入 放行指定IP的3389连接
    • 地址配置:选择“地址”选项卡,源地址设为“一个特定的IP地址”,目标地址设为“我的IP”。取消勾选“镜像”。
    • 协议配置:选择“协议”选项卡,协议类型选 TCP,设置IP协议端口为“从任何端口到此端口”,并填入 3389
    • 点击“确定”关闭属性窗口。
  • 创建阻止规则
    • 再次点击“添加”。
    • 命名:输入 阻止3389连接
    • 地址配置:源地址设为“任意IP”,目标地址设为“我的IP”。
    • 协议配置:协议类型选 TCP,端口设为 3389
    • 点击“确定”。

为筛选器指定操作

  • 添加阻止操作:在“新规则属性”对话框,选择“筛选器操作”选项卡,点击“添加”。
    • 选择“阻止”,在“常规”选项卡里将名称改为 阻止,点击“确定”。
  • 关联规则与操作
    • 在“IP筛选列表”选项卡,选中 放行指定IP的3389连接(确保圆圈被选中)。
    • 切换到“筛选器操作”选项卡,选中 许可
    • 点击“确定”。
  • 配置阻止规则:在 3389过滤 属性里,点击“添加”,选中 阻止3389连接,按上述方法给它指定 阻止 操作。
  • 应用策略:确定后,右键 3389过滤,选择“指派”。无需重启即可生效。

主要功能

  • IP白名单访问控制:通过组策略内置的IP安全策略机制,对发往本机3389端口的TCP连接进行筛选。输入为指定的源IP地址,输出为仅放行该IP的远程桌面连接,其余连接被丢弃。
  • 双向规则配置:支持同时创建“放行”与“阻止”两条筛选器规则。输入为不同源IP范围(特定IP与任意IP),输出为对同一端口(3389)执行不同的许可或阻止操作。
  • 无需额外软件:完全依赖Windows系统自带的“IP安全策略”管理单元。输入为系统策略配置,输出为内核级网络过滤,不依赖第三方防火墙或服务。
  • 即时生效:策略指派后立即生效。输入为策略的“指派”操作,输出为无需重启系统或服务,网络连接控制即刻更新。
  • 端口级过滤:精确控制到TCP协议的特定端口(3389)。输入为协议类型(TCP)和端口号,输出为仅对该端口的流量进行过滤,不影响其他端口通信。

使用要求

  • 策略配置完成后需要执行“指派”操作才能生效。
  • 创建筛选器时,务必取消勾选“镜像”选项,否则规则会应用于双向流量。
  • 放行规则必须优先于阻止规则,确保指定IP能先被匹配并放行。

同类竞品对比

对比维度 IP安全策略:只允许指定IP连接远程桌面 Windows防火墙高级规则 第三方防火墙软件
配置复杂度 需要创建IP筛选器列表和筛选器操作两步 直接在入站规则中新建端口规则,步骤更少 通常有图形化界面,规则创建更直观
规则粒度 支持源IP、目标IP、协议、端口组合过滤 同样支持IP、协议、端口,并支持程序路径 多数支持更细粒度,如时间段、应用程序、用户等
生效机制 策略指派后立即生效,无需重启 规则保存后立即生效 规则应用后通常立即生效,部分需重启防火墙服务
依赖组件 依赖IPsec Policy Agent服务 依赖Windows Firewall服务 依赖自身安装的驱动和服务
系统集成度 深度集成,通过组策略管理,适合域环境 深度集成,通过高级安全MMC管理 独立运行,可能与其他系统组件有兼容性问题

应用场景

  • 服务器远程管理:管理员需要从固定办公IP登录Windows服务器进行维护,防止暴力破解和未授权访问。
  • 企业内部应用:限制特定内部系统(如ERP、OA)只能从公司内网或VPN的IP段访问其远程桌面端口。
  • 安全合规审计:满足等保2.0等合规要求中,关于“应限制远程管理IP地址”的条款,提供明确的规则配置记录。

适用人群

  • 系统管理员和IT运维人员。
  • 需要强化Windows服务器远程桌面安全性的技术用户。
  • 负责企业内部网络安全策略配置与合规的工程师。
  • 本文作者:站长
  • 本文链接: https://www.zhujishice.cn/190.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
0
0
  • 支付宝打赏
    支付宝扫一扫
  • 微信打赏
    微信扫一扫
感谢支持
文章很赞!支持一下吧
关于作者
106
0
0
0
内卷太严重,已躺平...

服务器远程登录失败的七项配置核查指南

上一篇

Windows Server 2003 远程桌面端口修改操作指南

下一篇
评论区
内容为空

这一切,似未曾拥有

  • 复制图片
按住ctrl可打开默认菜单