[求教]安全的远程桌面方案?

2022-11-30 11:46:46 +08:00
 fox0001

最近因为 yq 需要远程办公。

当前解决方案

  1. 主要是使用 Windows 的远程桌面 + 端口映射。
  2. 办公室的电脑,台式机,系统是 Win11 ,都开启了远程桌面,登录用户设置强密码。
  3. 网络有外网 IP ,可以设置路由器的端口映射,把 win11 的远程桌面端口,映射到外网 IP 端口。

缺点

担心基于登录用户的密码验证不够安全。而且远程桌面的端口直接映射到外网,不是一个好的做法。

加强安全性的方案

  1. 由于办公室有部署 Debian 的电脑,可以使用 SSH 建立 Socks 作为办公室内网的入口。远程桌面基于该 Socks 连接,不用映射端口到外网。Linux 上的 Remmina 可以使用,但微软官方的远程桌面客户端(包括 iOS 和 Android ),不支持任何方式的网络代理。
  2. 微软的方案,应该是“远程桌面网关”。这个没玩过,需要再研究。

疑问

大家有无更好的解决方案?

6170 次点击
所在节点    Windows
47 条回复
jhytxy
2022-11-30 11:48:35 +08:00
duo
2fa

每次 rdp 登录要在手机通过一下
v2wtf
2022-11-30 11:55:39 +08:00
自己搞一个端口转发就行了,我用 frp 转的,稳定得一比。
swulling
2022-11-30 11:59:51 +08:00
加一层 VPN ,比如 tailscale ,zerotier 等

这样你的远程桌面就不会暴露在公网上。
xyjincan
2022-11-30 12:02:21 +08:00
开启 ssh 服务,并且设置好密钥登录,关闭密码登录,然后 ssh 客户端隧道端口转发连本机 RDP 服务
registerrr
2022-11-30 12:02:29 +08:00
用 frp 转一下端口,密钥设的长一点,复杂一点。
fox0001
2022-11-30 12:04:11 +08:00
@jhytxy #1 谢谢,我记录一下,作为备选方案。由于使用了第三方服务,可能领导不会优先选用
fox0001
2022-11-30 12:06:45 +08:00
@xyjincan #4 你意思是,每台 Win11 上都开启 ssh 服务,然后映射到外网的是本机 ssh 端口,而不映射 rdp 端口?其实就是使用本机的 ssh 服务登录,再登录 rdp 吧?
fox0001
2022-11-30 12:08:37 +08:00
@registerrr #5 已经可以外网访问了,为什么需要 frp 转发端口?是不是 frp 有更好的安全验证?
fox0001
2022-11-30 12:11:00 +08:00
@swulling #3 以前我们也是通过部署“open 威屁嗯”服务,实现安全的内网访问,但是访问时需要安装““open 威屁”客户端。也作为备选方案吧
xyjincan
2022-11-30 12:12:52 +08:00
只看了你的标题,回复后才看下面的

你是全办公室都这么连接呀,直接在 debian 上搞一个排 10XXX 端口映射到各个 XXX 机器上啊,然后大家用一个 debian 账户密钥登录,连到这个网络,就可以 rdp 连接到自己的机器了
crab
2022-11-30 12:20:04 +08:00
直接 ssh -L 本地端口:win11 内网 IP:3389 到 debian 。(前提内网的 win11 能被 debian 访问。)
本地 远程桌面链接就是 127.0.0.1:本地端口
xyjincan
2022-11-30 12:22:51 +08:00
强调一下,客户端不能使用 127.0.0.1 ,3389 端口连接机器,ssh 用其它端口转发到本地,连接时指定好 [IP:端口] 就行了
registerrr
2022-11-30 12:25:33 +08:00
@fox0001 漏看了,有外网 IP 直接密码设复杂点,远程桌面就行了,安全性由系统自己保证。
frencis107
2022-11-30 13:09:01 +08:00
fox0001
2022-11-30 13:19:29 +08:00
@crab #11 谢谢。这个我试试
ptrxeu
2022-11-30 13:30:41 +08:00
teamviewer corporate or logmein pro
第三方维护的软件, 第三方承担的责任(法律上和技术上). 很多时候我们是在花钱买 compliance
yujizmq
2022-11-30 13:37:40 +08:00
堡垒机? jumpserver 之类的
lwch
2022-11-30 13:44:17 +08:00
我写了一个远程办公的软件,需要自己部署服务器端程序可以试试

https://github.com/lwch/natpass
fox0001
2022-11-30 14:02:59 +08:00
@yujizmq #17 对!我都忘了这个,还可以不用装远程桌面客户端了~
redbeanzzZ
2022-11-30 14:57:45 +08:00
我觉得有公网 IP 搭个 VPN 连 3389 是最好的,有显卡需求就 moonlight

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/899032

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX