windows 远程服务安全性,防止爆破

2020-12-15 20:44:07 +08:00
 x2009again
平时没有看 windows 服务器审核日志的习惯,今天一看 2 台自己的 windows vps 一直再被人爆破,vps 以前都改了远程端口了,都禁用了共享端口,用户名也非默认,现在出现被人爆破应该是被人扫描到了端口,然后尝试登录,不知道大佬们都是怎么处理 rdp 安全的,我有几个想法。1 、开放几个非 rdp 端口用来做伪装,如果有人访问这个端口就拉黑 ip,2 、设置一个 linux 服务器 ip 为可以远程的 ip,服务器上安装 frp,通过 frp 的 stcp 方式来远程,这样的话只有 frpc 连接成功后才能远程。
5740 次点击
所在节点    Windows
36 条回复
Eytoyes
2020-12-16 09:26:22 +08:00
我自己是高位端口+复杂密码+更新补丁防范绝大部分攻击,爆破不可怕,弱密码和协议漏洞才要命,爆破只是让日志难看一点
laminux29
2020-12-16 09:55:55 +08:00
你可以自己写个程序,生成 16 位大小写加符号的密码。理论上,除非量子计算机,否则全球计算机一起破解,以现在的算力,百年内破不了。

当然,这种密码,不方便记忆,也不方便存储。

对此我有更好的建议:

自定义前缀 + 可记录的包含大小写 /符号 /数字的复杂密码 + 固定算法加盐。

其中自定义前缀与固定算法,要选方便背诵的,记在脑子里。

固定算法还要选方便口算的。


举个例子,对于本站的密码:

自定义前缀:passWd2020 。这种好背诵吧?背诵下来,别写在任何纸质笔记本上,也别写在云笔记里。

可记录的包含大小写 /符号 /数字的复杂密码:v2Ex_#xH9dY7 。这种密码,可以写在纸质笔记本上,也可以写在云笔记里。

固定算法:把密码的最后一位,如果是字母,则大小写翻转,然后结尾再加固定字符串"2333";如果密码最后一位是数字,则加上乘以 4 的 intToString 字符串,再加固定字符串"2333"

因为密码最后一个数字是 7,因此乘以 4,intToString 后是"28",再加"2333",因此固定算法产生的最终字符串为 282333

最后,拼起来:

passWd2020 + v2Ex_#xH9dY7 + 282333

这种密码方案,既安全,又能记录在云笔记里。
ytmsdy
2020-12-16 10:49:20 +08:00
1:改端口,我一般都是把 windows 的远程端口修改 22,linux 的远程端口修改为 3389
2:搞一个随机密码,老长老长的那种。
x2009again
2020-12-16 13:41:54 +08:00
@ragnaroks 这个昨天已经安装了,国外服务器有效果,国内的服务器爆破都没有 ip 地址的,效果不大
x2009again
2020-12-16 13:42:31 +08:00
@whitefox027 你这个厉害,是 windows 服务器?
x2009again
2020-12-16 13:43:37 +08:00
@laminux29 密码已经加入了随机密码,拆分存储了
whitefox027
2020-12-16 15:26:56 +08:00
@x2009again 对,专门针对 windows 服务器的,公司的 windows 服务器我全部都上了,
jhytxy
2020-12-16 15:31:14 +08:00
2fa 登陆
duo.com

随时随地安心登陆
iloveayu
2020-12-16 16:02:25 +08:00
强密码,定期修改防爆破。
加 2FA,使用 Microsoft 账户登入和域账户的情况下,对 2FA 软件不友好,如果是 Server 操作系统+本地账户,不存在这问题。
XiLingHost
2020-12-16 16:20:52 +08:00
目前来看,搭个 VPN 是最通用的方案了,手机也可以走 VPN 来登录的,只要支持 L2TP 或者 PPTP 这些协议就行
ladypxy
2020-12-16 16:23:46 +08:00
改掉 admin,设置复杂密码
改端口,基本就可以了
HFX3389
2020-12-16 16:34:29 +08:00
@x2009again #24 国内的服务器爆破都没有 ip 地址的 是啥...记录不到 IP 的意思吗?
whwlsfb
2020-12-16 16:48:03 +08:00
https://github.com/DigitalRuby/IPBan

看到个这个工具不知道好不好用
lopetver
2020-12-16 16:52:03 +08:00
最简单的方法 win 防火墙设置白名单 IP
只允许白名单里面的 IP 远程
weifan
2020-12-16 17:00:10 +08:00
我认为 frp 更不安全...应该都有安全组吧,设一个你自己大概的 IP 段,密码强点,足以。大学那会,因为 IP 是固定的,我直接指定 IP 可访问某端口...
yqs112358
2023-07-14 23:30:44 +08:00
可以找找类似 Fail2Ban 的 Windows 版的项目,比如有个叫 wail2ban 的,还有这个 https://github.com/digitalruby/ipban ,等等

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/735788

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX