بروتوكول سطح المكتب البعيد (RDP) هو أداة مفيدة للوصول إلى جهاز كمبيوتر يعمل بنظام Windows من موقع آخر، مما يجعله ضروريًا للعمل عن بُعد، وإدارة الخوادم، والدعم الفني. ومع ذلك، فإن ترك RDP مفتوحًا للإنترنت بدون قيود يمكن أن يعرّض نظامك للوصول غير المصرح به، وهجمات القوة العمياء، وغيرها من المخاطر الأمنية.
واحدة من أكثر الطرق فعالية لحماية اتصال RDP هي تقييد الوصول باستخدام عنوان IP. في هذا الدليل، سنوضح لك كيفية حصر الوصول إلى RDP على عناوين IP محددة، مما يساعدك على تقليل التهديدات المحتملة وتحسين مستوى الأمان العام.

لماذا يعتبر تقييد الوصول إلى RDP عبر IP أمرًا مهمًا؟

السماح بالوصول غير المقيّد إلى RDP عبر الإنترنت يمكن أن يكون خطيرًا، خاصةً إذا كان منفذ RDP (الافتراضي 3389) مفتوحًا لجميع عناوين IP. يقوم القراصنة بشكل متكرر بمسح المنافذ المفتوحة ومحاولة استغلال كلمات المرور الضعيفة أو الأنظمة غير المحدّثة.
من خلال تقييد الوصول عبر IP، فإنك تضمن أن الأجهزة أو الشبكات الموثوقة فقط هي التي يمكنها الاتصال بنظامك عن بُعد.

فوائد تقييد الوصول عبر IP:

• منع المستخدمين غير المصرح لهم والمهاجمين.

• تقليل سطح الهجوم المكشوف على الإنترنت.

• المساعدة في الامتثال لسياسات الأمان في تكنولوجيا المعلومات والمعايير الصناعية.

• إضافة طبقة تحكم إضافية إلى بيئة سطح المكتب البعيد الخاصة بك.

المتطلبات الأساسية

قبل البدء، تأكد من الآتي:

• لديك صلاحيات المسؤول على جهاز الكمبيوتر أو الخادم.

• تعرف عنوان IP (أو نطاق IP) للأجهزة المسموح لها بالاتصال.

• تم تمكين RDP على نظام Windows لديك.

كيفية تقييد الوصول إلى RDP باستخدام جدار الحماية في Windows

إحدى أبسط الطرق لتقييد الوصول إلى RDP حسب عنوان IP هي من خلال "جدار حماية Windows Defender" المدمج.

الخطوات:

1. افتح جدار حماية Windows Defender
   من قائمة ابدأ، اكتب Windows Defender Firewall واضغط Enter.

2. افتح الإعدادات المتقدمة
   من القائمة الجانبية، اختر الإعدادات المتقدمة (Advanced Settings) لفتح نافذة "جدار حماية Windows مع الأمان المتقدم".

3. ابحث عن قاعدة RDP
   ضمن "القواعد الواردة (Inbound Rules)"، ابحث عن القاعدة المسماة Remote Desktop – User Mode (TCP-In) أو Remote Desktop (TCP-In).
   انقر بزر الماوس الأيمن على القاعدة واختر خصائص (Properties).

4. حدد نطاق IP
   في نافذة الخصائص، انتقل إلى علامة التبويب النطاق (Scope).
   ضمن عنوان IP البعيد (Remote IP address)، اختر عناوين IP هذه (These IP addresses)، ثم انقر على إضافة (Add) وأدخل عنوان IP أو النطاق المسموح به.
   يمكنك إضافة أكثر من عنوان إذا لزم الأمر، ثم انقر موافق (OK) لحفظ التغييرات.

5. تكرار العملية للقواعد الأخرى
   كرر نفس العملية لقواعد RDP الأخرى مثل UDP لضمان التقييد الشامل.

الآن، فقط عناوين IP التي حددتها هي من يمكنها الوصول إلى RDP في نظامك. سيتم حظر جميع العناوين الأخرى تلقائيًا.

طرق بديلة لتقييد الوصول إلى RDP عبر IP

1. إعداد قيود IP على جهاز التوجيه أو جدار الحماية

إذا كنت تدير شبكتك من خلال جهاز توجيه أو جهاز جدار ناري، يمكنك إنشاء قواعد إعادة توجيه المنافذ أو قوائم التحكم في الوصول (ACLs) لتقييد حركة المرور الواردة على منفذ RDP لعناوين IP معينة فقط.

2. استخدام VPN

بدلاً من تعريض RDP مباشرة للإنترنت، يمكن تكوين المستخدمين عن بُعد للاتصال أولاً عبر شبكة خاصة افتراضية (VPN). بمجرد الاتصال، يمكنهم الوصول إلى عنوان IP الداخلي للجهاز دون الحاجة إلى فتح منفذ RDP للعامة.

3. تقييد الوصول عبر السحابة أو بوابة سطح المكتب البعيد

إذا كنت تستخدم خدمات مثل Azure أو بوابة سطح المكتب البعيد (Remote Desktop Gateway)، يمكنك إعداد سياسات تقييد IP داخل تلك المنصات للتحكم في من يمكنه الاتصال.

أفضل الممارسات لتأمين الوصول إلى RDP

• استخدم دائمًا كلمات مرور قوية وفريدة لتسجيل الدخول عبر RDP.

• فعّل المصادقة الثنائية (2FA).

• حافظ على تحديث نظام Windows بآخر التصحيحات الأمنية.

• راقب السجلات لرصد محاولات تسجيل الدخول الفاشلة أو النشاطات غير الاعتيادية.

• عطل RDP عندما لا يكون قيد الاستخدام.

الأسئلة الشائعة

ما هو المنفذ الافتراضي لـ RDP؟
المنفذ الافتراضي هو TCP 3389. يمكن تغييره لمزيد من الأمان، ولكن يجب تحديث إعدادات جدار الحماية وفقًا لذلك.

هل يمكنني السماح بعدة عناوين IP للوصول إلى RDP؟
نعم، في إعدادات جدار الحماية في Windows، يمكنك إضافة عناوين IP متعددة أو حتى نطاقات IP في قسم "النطاق" الخاص بقاعدة RDP.

كيف أجد عنوان IP الخاص بي للوصول إلى RDP؟
للعثور على عنوان IP العام، قم بزيارة موقع مثل whatismyip.com من الجهاز البعيد.
وللوصول من الشبكة الداخلية، استخدم الأمر ipconfig في موجه الأوامر.

ماذا يحدث إذا أضفت عنوان IP خاطئ؟
قد يتم قفل الوصول عليك. لذلك، اختبر دائمًا الاتصال بعد إجراء التعديلات، وفكر في إعداد وسيلة وصول احتياطية مثل VPN أو حساب مسؤول إضافي.

هل يكفي استخدام تقييد IP فقط لتأمين RDP؟
تقييد IP هو طبقة حماية قوية، لكنه يجب أن يكون جزءًا من إستراتيجية أمان شاملة تشمل المصادقة الثنائية، كلمات مرور قوية، VPN، وتحديثات منتظمة للنظام.

هل تقييد RDP حسب IP يحمي تمامًا من الهجمات؟
إنه خطوة فعالة جدًا، لكن لا يجب الاعتماد عليها وحدها. الجمع بين التشفير، المصادقة، وتسجيل الدخول يعزز الحماية بشكل متكامل.

للمزيد من النصائح حول الأمان عن بُعد ودروس تكنولوجيا المعلومات خطوة بخطوة، تفضل بزيارة www.rossetaltd.com.