Windows 远程桌面 RDP 开启后,默认的防火墙入站规则是允许来自任何网络(包括域、专用和公用),是否应该去掉对“公共网络”的允许?

1 天前
 ungrownxiaohao
在“高级安全 Windows Defender 防火墙”中可以看到 3 个名称以“远程桌面”开头的入站规则,它们的“配置文件”都是“所有”,也就是:域+专用+公用。如果把公用去掉,合不合适呢,是否是多此一举呢?

乍一想,就算多此一举,似乎也并无坏处,无非是把远程桌面的入站规则限制得更紧了。但是再多想一下,又觉得没这么简单:原本公用网络也能进入远程桌面端口,并不非得是受信任的网络;而如果公用网络不再被允许,那就必须将网络从公用改成专用,这反而增加了在网络上的暴露程度。

于是就有两难的选择:
- 公用网络下,远程桌面也能被其他设备访问,但相对的,不需要暴露更多其他端口,因为很多其他端口并不像远程桌面那样默认会允许公用网络。
- 公用网络下,远程桌面无法被访问,除非把网络改成受信任的类型,比如专用网络,但这样反而让很多其他端口也跟着一起被允许访问了。

---

医生:你这种症状持续多久了
833 次点击
所在节点    宽带症候群
17 条回复
NewYear
1 天前
年龄大了就不想折腾了。

以前各种停服务、精简进程,现在很久很久很久都没有看过启动项了,昨天看到个陌生进程还茫然,仔细一看才知道没有出问题。

远程桌面怕不安全可以设计一个安全机制动态开启,安全又方便。
ungrownxiaohao
1 天前
@NewYear #1 就是需要用的时候再临时开启,用完就关掉的意思吗?
yuchenr
1 天前
域、专用、公用 是根据你的网络环境启用的三个不同的防火墙配置文件。
如果你有 IPv6 、或者上游允许所有 IPv6 入站。那就可以考虑使用公用。
ungrownxiaohao
1 天前
@yuchenr #3 或者说,如果有 v6 但不希望 rdp 通过 v6 暴露到外网的话,可以去掉公用这个配置
NewYear
1 天前
@ungrownxiaohao

Linux 有个敲门开端口的技术,平时是关闭端口的,需要连接的时候再敲服务器的门,自动开启。Windows 其实也可以,但是要自己去摸索搞。
peasant
1 天前
与其纠结这些,不如换个带防火墙的路由器,内网设备裸奔都行,路由器防火墙设置好就可以了。
laminux29
1 天前
Windows 防火墙的高级里,默认的一条规则,会有 3 个重复项目,分别是:公用、域、专用。

建议做法是,任选两条,保持灰色的禁用状态;最后一条,把公用、域、专用,都勾选,然后启用。

接着在这条规则的作用域 -> 远程 IP 地址,在这里填入允许的白名单。注意填写方式:

仅允许 1.2.3.4 这一个 IP 访问本机远程桌面:
1.2.3.4/32

允许 192.168.0.1 - 255 整个段访问本机远程桌面:
192.168.0.0/24
ranaanna
1 天前
op 想多了。这三个网络并不是可以选择的,是 winodes 根据所处网络自行激活其中的一个,例如如果 windows 加入了某个域,激活的防火墙规则的集合就是“域”。如果不想电脑在公用网络下允许某规则,不点选这条规则即可。在公用网络下不通过一些手段(比如 vpn )是不可能把网络类型改成专用的。所以实际上没有 OP 所说的问题
ungrownxiaohao
1 天前
@ranaanna #8 我纠结的两难,就是不管选哪个都有不同的利弊
ranaanna
1 天前
@ungrownxiaohao 这没什么好两难的。如果 windows 加入了域,那么没得选只有“域”。如果接入的是自家网络,那么在第一次接入的时候选“专有”。如果是例如带到外面的笔记本连公共 wifi ,或者接入校园网这样的大型公共网络,那么就选“公用”。很多软件在安装或初次运行的时候会创建防火墙规则,提供这 3 中网络类型下默认的规则。所以完全没有必要去掉。如果不希望在公共网络下允许远程桌面,disable 相应的规则即可,这样就不会影响在专有网络下的使用
ranaanna
1 天前
@ungrownxiaohao 其实很简单的。除非是加入了域,windows 在第一次接入某网络是会提示让用户选择“专用”还是“公用”,如果选择专用,那么就应用“专用”的防火墙规则,公用也是一样。所以只是不同防火墙规则的集合,视加入的网络而定,没什么好两难的
Int100
22 小时 55 分钟前
需要远程连接一律走 vpn
ungrownxiaohao
17 小时 52 分钟前
@ranaanna #10 你完全没看我在帖子里说的矛盾点,你的回答不在我关心的重点上
deepbytes
17 小时 38 分钟前
OP 这是公司的环境?如果是个人环境的话,我倒是有个人的最佳实践(安全向)
ungrownxiaohao
17 小时 34 分钟前
@deepbytes #14 个人用。公司的话,我倒是认为直接上 VPN ,正如评论里有人指出的,毕竟这也是微软针对企业客户所设想的使用场景。
ShareDuck
16 小时 51 分钟前
@ranaanna #8 说得很清晰,实际只有一套规则在生效。
1014982466
2 小时 21 分钟前
你没公网 IP 真没谁无聊到会去破你的 RDP ,又不是 SSH 。我都是防火墙直接关了,RDP 改个端口,自己的账户名和密码,你天王老子来了也黑不进来啊

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1094666

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX