коментариев
Поделиться статьей:

Защита RDP: IP whitelist, двухфакторная аутентификация

11.08.2025 на прочтение 5 минут

С самого начала своего появления удалённые сетевые подключения на основе RDP (Remote Desktop Protocol) стали объектом хакерских атак. Это вызвано многими факторами, начиная от несовершенства технологии и заканчивая несоблюдением пользователями элементарных правил безопасности при работе в сети. Ранее мы писали о том, как минимизировать риск потери данных при использовании подключения удалённого рабочего стола. А сейчас приведём инструкции по созданию «белых списков» IP-адресов для ограничения доступа к RDP, а также правила настройки двухфакторной аутентификации пользователей, повышающие уровень защиты RDP-соединений.

Арендуй Windows VDS

Виртуальные серверы с рабочим столом для Форекса, Etsy-магазинов, удалённого доступа и ежедневных бэкапов

Тарифы

Настройка IP‑whitelist

Приведём последовательность выполнения настроек по созданию списка IP-адресов, с которых разрешён доступ к нашему RDP-соединению. Инструкция актуальна для версий Windows Desktop 8-11 и Microsoft Windows Server 2016 – 2025.

Предварительные условия

Для выполнения настроек необходимо выполнение следующих требований:

  • Наличие прав Администратора в используемой ОС Windows;
  • Наличие доступа к брандмауэру Windows.

Действия по настройке доступа к RDP-соединению с определённого IP-адреса

  1. В поисковой строке главного меню Windows ввести слово брандмауэр или firewall в зависимости от языка интерфейса.
  2. В появившемся сверху списке выбрать пункт «Брандмауэр Защитника Windows в режиме повышенной безопасности».


  3. В левой части появившегося окна брандмауэра выбрать пункт Inbound Rules (Правила входящих соединений).


    4. В правой части окна отобразится список правил брандмауэра, среди которых найти правила:

  • Shadow (TCP-In) – для входящего трафика;
  • User Mode (TCP-In) – пользовательский режим для входящего TCP;
  • User Mode (UDP-In) – пользовательский режим для входящего UDP.

    5. Включить каждое из описанных выше правил одинаковым образом. Для этого с помощью мыши следует открыть окно свойств выбранного правила, в котором выполнить следующие действия:

  • Выделить закладку Область (Scope);
  • В блоке Remote IP address включить переключатель Эти IP-адреса (These IP addresses);
  • Нажать кнопку Добавить;

В окне IP Address ввести цифровой адрес или диапазон подсети, с которых необходимо разрешить доступ и нажать ОК.





   6. После включения и настройки указанных правил приведённым выше способом, протестировать соединение путём установки RDP-подключения с разрешённого IP-адреса с помощью одного из клиентов удалённого рабочего стола.

Настройка двухфакторной аутентификации для RDP-подключения

Что такое 2FA и как это работает

Двухфакторная аутентификация или 2FA – это способ повышения уровня безопасности за счёт введения дополнительного фактора или токена безопасности в процесс аутентификации пользователей в системе.

Применительно к Windows RDP это реализуется следующим образом:

  • Пользователь при входе в систему вводит свои учётные данные домена Active Directory (первый фактор);
  • Пользователь одним из доступных способов получает сгенерированный в центре аутентификации код аутентификации и вводит его в диалоговом окне авторизации (второй фактор);
  • В случае успешного ввода кода пользователь получает доступ к удалённому рабочему столу. 

Таким образом, открыть сеанс RDP смогут только пользователи, прошедшие двойную проверку – в домене и в независимом центре аутентификации, что практически исключает несанкционированный вход в систему.

В качестве центра аутентификации может выступать один из сторонних поставщиков учётных данных, например, miniOrange. Ниже будет рассмотрен процесс настройки двухфакторной аутентификации для RDP с использованием поставщика учётных данных miniOrange.

Настройка 2FA для RDP и входа в Windows

Приведём последовательность действий для настройки 2FA, разбитых на отдельные функциональные блоки:

  1. Зарегистрировать аккаунт на сайте miniOrange с именем пользователя, совпадающем с его доменным именем в Active Directory;
  2. Загрузить модуль 2FA в формате msi с этой страницы сайта miniOrange и развернуть его на своей машине с ОС Windows;
  3. Войти в административную панель miniOrange по этой ссылке, где выполнить следующие действия:
  • Добавить приложение Windows для ПК с помощью кнопки Add Application (см. скрин);
  • Выбрать способ входа в систему;
  • Включить 2FA и настроить её политики;
  • Сохранить данные учётной записи miniOrange – ключ клиента, ключ API, имя приложения






    4. На локальном ПК настроить поставщика учётных данных miniOrange для 2FA для входа по RDP:

  • В меню Пуск Windows открыть окно конфигурации 2FA-модуля miniOrange;
  • В разделе Состояние поставщика учётных данных/GINA включить опции Зарегистрировано и Включено;
  • Проверить, чтобы была запущена служба miniOrange.

    5. Интегрировать 2FA-модуль Windows в учётную запись miniOrange:
  • В окне 2FA-модуля открыть форму настройки 2FA для плагина miniOrange и ввести сохранённые ранее данные учётной записи miniOrange;
  • Сохранить введённые значения.

    6. Протестировать созданные настройки в окне 2FA-модуля:

  • Нажать Тест MFA и ввести имя пользователя;
  • Выбрать один из настроенных ранее методов 2FA и нажать Далее;
  • Принять высланный идентификатор, ввести его в поле формы и нажать Войти;
  • В случае успешного прохождения проверки появится сообщение «Тест выполнен успешно».

    На этом настройка завершена и можно приступать к работе в удалённой системе с повышенным уровнем защиты канала передачи данных.
Close Screen
Yulia Lys
Статей: 102
Оцените статью:


Спасибо за отзыв
Рейтинг: 5 из 5 Голосов: 2