La porta 3389 è la porta standard per il protocollo desktop remoto che alimenta Remote Desktop Services su tutte le versioni moderne di Windows.
Se il tuo sistema ha il Desktop remoto abilitato, sta ascoltando le connessioni sulla porta 3389. Poiché questa porta è ben nota e può essere utilizzata per attaccare gli account, è un frutto difficile per gli script kiddie e i bot che cercano un bersaglio facile.
Teoricamente su un sistema che non dispone di una politica di blocco dell'account, che tra l'altro non è un'impostazione predefinita del sistema, il protocollo RDP può essere utilizzato per ottenere la password dell'amministratore con la forza bruta. La forza bruta è un modo elegante per dire di provare tutte le password possibili. Se il sistema non blocca mai l'account, il tempo è l'unica barriera per ottenere la password e accedere.
La prima difesa consiste nell'implementare una buona politica di blocco dell'account, ma ciò non risolve l'intero problema. Qualsiasi amministratore di un server Web Windows rivolto al pubblico noterà che il proprio server è continuamente attaccato da bot in cerca di un facile bersaglio. I bot spesso bloccheranno i tuoi account, il che può essere molto fastidioso.
Inoltre il processo di forza bruta utilizza molta CPU e diminuisce le prestazioni complessive del VPS fino a un vero DOS. Se è in corso un attacco di forza bruta, lo vedrai nel visualizzatore eventi con ID evento 4625.
Per questo motivo è importante modificare la porta RPD predefinita modificando la seguente chiave di registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStation\RDP-Tcp\PortNumber
Scegli un numero di porta qualsiasi e riavvia il server.
A questo punto puoi connetterti al server aggiungendo il numero di porta dopo l'IP del server o il nome host link questo: xx.xx.xx.xx:yyyy
