Разрешаем RDP-подключения только от определенных IP/подсети

Настроим брандмауэр Windows Server 2019 так, чтобы подключение по RDP было разрешено только с определённых IP-адресов или подсетей. Все остальные подключения к RDP должны отклоняться.

Важно

Не создавайте отдельное блокирующее правило на порт 3389, например:

Block TCP 3389 from Any

В Windows Firewall блокирующие правила имеют приоритет и могут перекрыть разрешающие. Правильный способ — ограничить существующие RDP-правила по удалённым IP-адресам.

Настройка через PowerShell

Запустите PowerShell от имени администратора.

1. Укажите разрешённые IP

Пример:

$AllowedIPs = @(
    "203.0.113.10",
    "198.51.100.25",
    "10.10.10.0/24"
)

Где:

203.0.113.10    — внешний разрешённый IP
198.51.100.25   — внешний разрешённый IP
10.10.10.0/24   — разрешённая локальная подсеть

2. Ограничьте RDP-правила

$RdpRules = @(
    "RemoteDesktop-UserMode-In-TCP",
    "RemoteDesktop-UserMode-In-UDP",
    "RemoteDesktopServices-UserMode-In-TCP",
    "RemoteDesktopServices-UserMode-In-UDP"
)

Set-NetFirewallRule `
    -Name $RdpRules `
    -Enabled True `
    -Direction Inbound `
    -Action Allow `
    -RemoteAddress $AllowedIPs

Проверка

Проверить, какие IP указаны в правилах:

Get-NetFirewallRule -Name $RdpRules |
    Get-NetFirewallAddressFilter |
    Format-Table InstanceID, RemoteAddress -AutoSize

Проверить, что нет других разрешающих правил на порт 3389:

Get-NetFirewallRule -Direction Inbound -Enabled True -Action Allow |
    Get-NetFirewallPortFilter |
    Where-Object { $_.LocalPort -eq "3389" } |
    Format-Table InstanceID, Protocol, LocalPort -AutoSize

Все найденные разрешающие правила на 3389 должны быть ограничены по списку разрешённых IP.

Проверка состояния брандмауэра

Get-NetFirewallProfile |
    Select-Object Name, Enabled, DefaultInboundAction |
    Format-Table -AutoSize

Желательно, чтобы для активного профиля было:

Enabled              True
DefaultInboundAction Block

Настройка через интерфейс

Откройте:

wf.msc

Далее:

Правила для входящих подключений
→ Удалённый рабочий стол — пользовательский режим TCP
→ Свойства
→ Область
→ Удалённый IP-адрес
→ Эти IP-адреса
→ Добавить нужные IP

То же самое нужно сделать для UDP-правила и правил RemoteDesktopServices, если они есть.

Итог

После настройки RDP будет доступен только с указанных IP-адресов и подсетей:

203.0.113.10
198.51.100.25
10.10.10.0/24

Остальные подключения к RDP не попадут под разрешающие правила и будут отклоняться политикой Windows Firewall.