목적 :
Windows Server 계열은 RDP를 사용하여 원격접속을 합니다.
해당 서비스는 기본으로 3389를 사용하며, 잘 알려진 well-known port이기 때문에 포트 변경을 통해 무작위 대입 공격을 방지할 수 있습니다.
이 문서에서는 Windows에서 사용할 수 있는 Powershell 명령어를 통해 GCP의 메타데이터를 적용하여, 템플릿이나 프로젝트 전체에 적용하는 방법을 설명합니다.
Windows 운영 중인 상태에서 변경하기 (레지스트리 변경)
- 레지스트리 편집기를 시작합니다. (검색 상자에 regedit을 입력합니다.)
- 다음 레지스트리 하위 키로 이동합니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
- PortNumber를 찾습니다.
- 편집 > 수정을 클릭하고 Decimal을 클릭합니다.
- 새 포트 번호를 입력하고 확인을 클릭합니다.
- 레지스트리 편집기를 닫고 컴퓨터를 다시 시작합니다.
위의 경로를 캡쳐하였을때 아래와 같습니다.
Windows 운영 중인 상태에서 변경하기 (PowerShell 사용)
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber"
"PortNumber"에 변경하고자 하는 Port번호 작성하면 됩니다.
- GCP의 메타데이터를 사용하여, 생성 후 바로 RDP Port 변경하기
GCP의 메타데이터 키를 사용하여, VM 이미지 생성 후 초기 부팅시 바로 변경하는 방안입니다.
- 메뉴접근
Compute Engine > 인스턴스 생성 - 관리 섹션 선택
메타데이터에서 항목 추가를 통해 키, 값을 설정
Key : sysprep-specialize-script-ps1
해당 Key의 뜻은 로컬에 저장되거나 직접 추가된 최대 256KB의 서명되지 않은 PowerShell 스크립트를 전달하며, 초기 부팅시 첫 번째로 실행됩니다.
windows-startup-script-ps1 키의 뜻은 위와 동일하게 PowerShell이지만, 부팅할 때마다 계속 실행됩니다.
Port Number는 한번만 변경되어도 되니 “sysprep-specialize-script-ps1”를 선택합니다. - Value(값)은 아래와 같이 입력합니다.
$portvalue = 3390 # 변경할 Portnumber를 변수 값을 저장합니다. 위에서는 3390으로 설정하였습니다. Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value $portvalue New-NetFirewallRule -DisplayName 'RDPPORTLatest-TCP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol TCP -LocalPort $portvalue New-NetFirewallRule -DisplayName 'RDPPORTLatest-UDP-In' -Profile 'Public' -Direction Inbound -Action Allow -Protocol UDP -LocalPort $portvalue
위의 방법을 정리하면 아래와 같습니다.
변경 후에 확인하는 방법은 다음과 같습니다.
netstat -aon을 통해 변경된 포트로 “LISTENING”인지 확인합니다.
netstat -aon을 통해 변경된 포트로 “LISTENING”인지 확인합니다.
- GCP Compute Engine의 template 사용하여 적용하기
Template을 사용하여, instance-group이나 template으로 신규생성한 VM에도 별다른 작업 없이 적용하는 방안 입니다.
메뉴접근
Compute Engine > instance-template
고급 옵션 > 관리 > 메타데이터
위 VM생성과 동일하게 Key, Value를 입력합니다.
이제 해당 Template을 통해 생성하게 되면, RDP Portnumber가 변경되어 생성됩니다.
- 변경된 RDP Port로 접속하는 방안
PortNumber를 별도로 입력하는 Tool이라면 별도 입력하여 접속합니다.
기본 접속 Tool의 경우
“IP or Domain Name”:Portnumber 를 입력합니다.
- 참고 Doscs
RDP포트변경 (Microsoft)
메타데이터 변경 (GCP)
'Cloud > GCP' 카테고리의 다른 글
[GCP] SSL - Load balancing 인증서 발급과 테스트 방안 (0) | 2024.01.15 |
---|---|
[GCP] On-Premise to GCP VPN구성 (0) | 2024.01.15 |
StratoZone 정리 (0) | 2023.08.23 |
GCP Console에서 gcloud IAP를 사용하여 instace(GCE)연결 (0) | 2023.06.27 |
[GCP/Monitoring] Monitoring Agent 설치시 에러메시지가 발생될때 (0) | 2023.06.24 |
HA VPN (GCP to AWS) (0) | 2023.06.07 |
GCP 보안 (0) | 2023.05.30 |