我希望所有域计算机上的远程桌面只能从一个IP访问。 但是,对于Windows自身设置的所有计算机,远程桌面都有一个默认的本地“允许入站”规则,允许所有IP。
我不认为这是可行的,因为可以创build一个自定义的规则,你将无法涵盖所有这些规则。 可以使用组策略不适用本地规则,但这可能会破坏某些内容。
另一种方法是创build两个拒绝规则。 第一条规则拒绝远程IP地址范围0.0.0.0-。 第二个规则拒绝远程IP地址范围。 例如,要允许IP地址10.1.2.3:
TCP / 3389拒绝规则1:拒绝远程地址范围:0.0.0.0-10.1.2.2
TCP / 3389拒绝规则2:拒绝远程地址范围:10.1.2.4-255.255.255.255
当然,你应该为你的一个IP地址创build一个TCP / 3389允许规则。
您还应该为UDP / 3389创build两个拒绝规则,因为现代Windows操作系统可能使用UDP,除非您为远程桌面configuration组策略以仅使用TCP。 或者,如果你不需要或者只需要创build一个UDP / 3389防火墙拒绝所有地址的规则。