Windows Remote Desktop 有没有安全方面的建议？

该端口？白名单？

还真有，启用 NLA 之后就会给你套一个 ssl tunnel

@Keyes 可是，credssp 有没有被降级攻击的风险呢？之前一直用 ssh，rdp 了解的比较少，谢谢了

@Legman 这些都是基础防御了，并不能提供足够的安全保护

不会，开仅 nla，然后配客户端证书

vpn 回去再 rdp ？我司就是这么搞的。

@Keyes 配客户端证书 指的是像 ssh 类似在客户端验证 ssl 证书的指纹是否一致吗？（没有条件给 rd host 搞非自签证书）

@yzc27 这成本太恐怖， 个人用户玩不起。不过我暴露在公网的 rdp 都是用 ssh 隧道保护的，和 vpn 一样的思路。现在主要是觉得套一层 ssh 过于麻烦，想裸连 rdp，就是不知道 rdp 的安全性做的如何，毕竟一堆 rdp 被爆破的帖子。

不多说，就两点，用到位了就省 80%烦心事：
1，使用高位非默认端口
2，使用强密码

@Osk 个人搞墙内自用的 vpn 还好吧，成本不会高鸭，比如 openvpn 、softether 等等。在墙内搞，不过墙，一般都不会干扰。

RDP 在 Vista 还是 Win7 以后就是带 TLS 的加密连接了，默认设置下 RDP Server 禁止非加密连接。
而且 RDP 连接的时候会告知证书的名称，可以自行核对，还可以设置双向认证，正确使用的话是不怕中间人攻击的。

暴力破解密码远程登录的问题是无法避免的，可以通过自行修改端口+强密码的方式阻止非法登录。
基本上 RDP 只要做到改端口+强密码是比较安全的，其他的注意经常做系统更新就行了。

@wevsty #11 他是怕 rdp protocol 有问题吧
被试到 port 一切就结束了

@cest

一般来说协议的实现都不能保证是绝对安全的，无论是 SSH 还是 RDP 都一样，所以才需要经常性的做更新。
Windows 系列的市占率并不低，大家基本都是用的 RDP 来管理的。
对于 RDP Server 这种实现来说如果出现什么远程代码执行或者绕过验证登录之类的漏洞，MS 是无论如何都必须修复好的，对用户来说，经常更新系统就无需担心什么。

上个月尝试给自己部署 windows remoteapp 托管微信 exe 和 chrome 浏览器，吃了 vultr 两张工单后大概稳定运行了。

不涉及 ad 的情况基本就一个 3389 被人扫 我的解决方法还是 zerotier 伪内网连接，关闭 3389 公网访问。

与 ad 有关的一个 udp389 （我没打错数字）会被 dd 利用，消耗大量带宽，需要关掉公网访问，但关了就连不上 remoteapp 了。

另一张工单 要求我关掉 vm 上的递归 dns （？），说它可能有被 dd 利用的风险。

加个中转机，防火墙仅允许中转机访问