路由器还是别开任何端口转发到 RDP 服务了，有事直接 openVPN 连回内网

怕被扫就各种 windows 防火墙。白名单。增加你可能的访问来路网段。例如运营商的宽带以及数据的公网 ip 即可。。。被黑只能是因为弱密或者不打补丁。有能力自己搞出 0day 大杀特杀的也没必要针对你一个，要干就 5 分钟扫描全球全部控制好了，随随便便分分钟摧毁整个互联网。
系统的防火墙太难设置或者技术不好，没有洁癖的就随便用一些服务器安全软件设置。可以设置的名单就更加全面了。比如限制连接的计算机名，或者需要特定二次验证等等。
而改端口相对来说已经没有什么用了。

还有，开启了 rdp 安全，其实很多扫爆软件已经没用了，不知道你开了没。。。

根据我的白名单方法。除非发起者跟你同地区，如果你在国内，发起者跟你同地区，虽然你没有任何损失，但是你可以报警，确定会迅速定位扫爆发起者。。对网安来说相当于白给 KPI 。。。。。这种情况可大可小，就看怎么处理了。完整流程只要半个小时就找出发起者了。

https://www.v2ex.com/t/821458
上次自己亲身经历。
参与暴力破解的机器应该都是肉鸡。
虽说没受什么实际损失，我的真的怕了，也真的改了。

直接用 tailscale 或者 wireguard ？

家里公网 ip 高端口开着 rdp 十来年了，5 字母用户名（不是 admin ）+5 字母 3 数字密码，目前暂未被成功搞过，主要在外面各种环境想随时随地可以连回家，搞 vpn 会不方便

rdp 直接白名单放 vps 的 ip ，跳板访问，vps 的 ssh 禁止非证书登陆。。。随便扫，能进去算我输

wireguard

rdp 开了多年了，端口换成 5 位数字的

rustdesk+自建 relay ，值得拥有

为啥用 3389

@advancejar 单纯改端口没任何作用，没出问题只是可能你的账户名和密码比较强

wireguard 好用的一比，外网拉家里 NAS 文件都打满上传带宽

@jsyangwenjie tailscale 真心挺好用。。

3389<-TCP_NAT->3389 ，直接 RDP 默认端口映射，你这是把羊放到狼群里,
怎么野德吧 outside 那边的端口改一下吧，我改成 5 位数的端口，7 年了，一个摸门的都没有

RDP 被暴力破解 99%的情况：使用默认端口、administrator 用户、弱口令

可用端口六万多个，但凡改个五位数端口就已经过滤掉 99%的爆破；
自定义用户名，禁用 administrator 用户，至少再过滤掉 99.99%的爆破；
再使用强密码，直接被暴破成功的概率相当于小行星撞地球。

@chengfeng1992 我是被一个 IP 破了半个月，我也是服了

@cjpjxjx 再加一条: 关闭了 Windows 更新, 没错, 见过不少关闭更新的.

@i3x 防火墙策略太麻烦了，我 Linux 都是密钥登陆的，而且只是台下载机没必要，我就是佩服他能爆我半个月

@cjpjxjx 改端口其实作用不大，现在也就 windows server 才用默认用户名了，我之前被黑那次密码十几位，现在都是三十位起

@fateofheart 用 RDP 就是为了延迟和画质，开了显卡加速之后 50Mb 上传都不够，VPS 中转那就是个垃圾还不如直接向日葵

@jemyzhang 都中转了我为啥还用 RDP ，那不就为了延迟画质