windows 远程服务安全性,防止爆破

2020-12-15 20:44:07 +08:00
 x2009again
平时没有看 windows 服务器审核日志的习惯,今天一看 2 台自己的 windows vps 一直再被人爆破,vps 以前都改了远程端口了,都禁用了共享端口,用户名也非默认,现在出现被人爆破应该是被人扫描到了端口,然后尝试登录,不知道大佬们都是怎么处理 rdp 安全的,我有几个想法。1 、开放几个非 rdp 端口用来做伪装,如果有人访问这个端口就拉黑 ip,2 、设置一个 linux 服务器 ip 为可以远程的 ip,服务器上安装 frp,通过 frp 的 stcp 方式来远程,这样的话只有 frpc 连接成功后才能远程。
5670 次点击
所在节点    Windows
36 条回复
jasonyang9
2020-12-15 21:07:47 +08:00
我能想到的有:port knocking,ssh proxy jump,vpn (wireguard 等)
当然如果 rdp 能够用密钥登录那是最方便的,但。。。
opengps
2020-12-15 21:24:02 +08:00
好像注册表还是组策略的,有个项目,可以设置失败次数限制延迟时间的
crab
2020-12-15 21:36:39 +08:00
提高密码复杂度,就是跑到天荒地老都没用。
opengps
2020-12-15 21:58:39 +08:00
为了避免大家往同一个方向去考虑,我补充下另外一个防护方向:企业一般会选用堡垒机,或者 VPN 安全拨入内网后使用内网访问
x2009again
2020-12-15 22:07:26 +08:00
@opengps 我的思路 2 就是类似堡垒机,通过 frps 服务器来远程,不过这种方式有个问题,好像手机就不能远程上去了,目前 frp 只支持 pc
xmlf
2020-12-15 22:10:44 +08:00
@x2009again 家里路由器不用上干吗?或者服务器上装个 wireguard,手机连上去
WordTian
2020-12-15 22:30:01 +08:00
默认用户名 administrator 改掉或禁用,密码复杂点,个人使用基本够了
0TSH60F7J2rVkg8t
2020-12-15 22:42:16 +08:00
fail2ban 有 for win 的版本,但我忘记名字了
dream4ever
2020-12-15 22:58:19 +08:00
用关键字 “fail2ban windows” Google 一下吧,相关的工具还是有的。
AsiaToyo
2020-12-15 23:14:38 +08:00
我是限制 IP 段鏈接,找比較穩定的 IP 段,然後限定訪問
PUBG98k
2020-12-15 23:24:30 +08:00
只允许某个 IP,IP 段 访问 RDP
billytom
2020-12-15 23:29:02 +08:00
@opengps 像这种 VPN 内网登陆的,机器应该没有公网权限,那 windows 就不用更新系统了?打补丁之类的了?
opengps
2020-12-15 23:39:53 +08:00
@billytom 你忽略了网络访问方向:
别人访问服务器,这是入方向。这是目前运维人员最常用的端口防御策略,比如安全组防火墙等。
服务器访问外部,这是出方向。windows 更新属于这个方向。一般来说,只有特别高级要求的安全策略,才对这个方向进行控制,实现比如木马及时进入也无法对外取得联系的效果。
opengps
2020-12-15 23:41:22 +08:00
@billytom 更通俗的例子:你家里能上网,几乎没有任何限制。但是你在家里电脑上发布个网站,从外部访问进来却比较费劲
billytom
2020-12-16 05:53:14 +08:00
@opengps 谢谢回答,但我不理解的是如果禁掉入站,光开出站流量也不顶用啊,目前我司是 vpn 进内网方式确保安全的,windows 太多漏洞了,害怕
anyclue
2020-12-16 08:17:40 +08:00
提高密码复杂度,就是跑到天荒地老都没用。
ragnaroks
2020-12-16 08:38:02 +08:00
ipban,我设置的是失败两次(忽略时间)则永久屏蔽,2 年多了没被偷过

如果安全性要求较高,还是得堡垒机靠谱
mingl0280
2020-12-16 08:40:45 +08:00
上智能卡登录啊……
0312birdzhang
2020-12-16 09:02:46 +08:00
上双因素认证
whitefox027
2020-12-16 09:08:03 +08:00
我是用脚本修改服务器密码,一种是定时修改、另一种是远程连接断开后立即修改。修改之后将新的密码加密存放在数据库,需要远程的时候从数据库读取最新的密文进行解密,然后将我本地的 ip 加入防火墙策略,同时生成 rdp 文件。远程断开之后立即修改密码,修改防火墙策略。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/735788

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX