RDP(Remote Desktop)을 사용하고 default port를 사용하고 있다면 윈도우 event log를 확인해보는게 좋다.
CMD에서 # eventvwr 입력 후 Windows 로그 -> 보안 부분을 확인해보면...
1분에 10번꼴로 다양한 국가(중국, 네덜란드, 일본, 카메룬... ㅡ_ㅡ;;;) 에서 login을 시도게 보인다.
RDP의 default Port(3389)를 그대로 놔둔 상태에서 취약한 password를 사용했다면 쉽게 윈도우 계정이 뚤렸을 것 같다.
RDP의 port 변경은 레지스트리에서 변경 가능하다.
CMD에서 regedit을 입력하고 아래 경로를 확인해 보면..
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
PortNumber 항목에 3389 port number가 확인된다.
해당 항목을 선택하고 10진수 단위로 원하는 port 번호를 넣어준다.
이제 윈도우 방화벽에 해당 Port를 인바운드 규칙에 넣어주면 된다.
Command에서 WF.msc를 입력하고 인바운드 규칙에서 새 규칙을 선택 후 포트를 선택한다.
특정 로컬 포트에 변경한 포트를 입력하고 나머지 항목은 그대로 둔 후 다음을 진행하여 마친다.
이제 rebooting 후 적용 여부를 확인해 보면 된다.
참고로, 공유기에서 port forwarding을 사용중이라면 공유기에서도 해당 port를 사용하는 desktop ip와 매칭해주자.
댓글