windows 远程桌面， rdp 通过端口映射开放到公网访问，有什么好的安全措施吗

额，组网或者套一个 VPN

不是弱密码并且补丁都打了的情况下，问题不大。

当然还是 vpn 其它的叫 knock iptables ，没用过。

在 V2 ，问就是让你上 VPN

tailscale 或者 zerotier

我的一直开着，补丁打全，密码别用简单的，开了有一年了，没啥问题。检查日志，偶尔会收到一些爆破的，但是用的都是些常用账号尝试的，我直接用的微软账号，普通账号压根没开，谅爆破者到地老天荒都进不来。

改端口，经常更新系统

不使用 RDP 默认端口，不把 RDP 的端口映射到公网上，把 ssh 的端口映射到公网上，需要连接的时候用 ssh -L 转发。

我的主力机装了 eset nod32 防火墙会自动挡住
其他的各 win 虚拟机上面装一个软件 rdp defender 爆破 ip 会被自动黑名单
实际效果这样子

我是做了个微信机器人，然后通过发送指令控制是否开启端口映射，要远程了我就发指令开启，远程完就关闭，这样最稳妥，减少暴露公网的时间

@iomect 好丑的用户界面。另外 windows defender firewall 挡不住吗，还需要这些（过时、收钱、无效、冗余）的软件来挡？

还有个后台服务软件叫 ipban ，能提供一样的功能，我现在在用。

改端口，禁用 NLA ，NTLM ，应该会好一点。目前没发现有人尝试。之前开了 ssh 端口，也改了端口，才开了两天都被植挖矿病毒

密码加强，系统版本及时更新，使用最新加密方法。

全世界用公网 RDP 的多了，奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全，一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。

实在不放心，RDP 也支持双向证书认证，这个足够安全了吧。

我高位端口弱密码跑了多年了也没中过招。。

除了当年的 WIN2000/XP 可以用空密码远程，之后好像都没有听说过出问题。

非重点目标的话，用非标端口+非默认用户+复杂密码应该够安全了。

高位端口+强密码+动态 IP ，相当于 100%安全，几乎可以认为不可入侵。

我之前用过内网穿透+端口转发，还是弱口令，直接中勒索病毒，还好没什么重要文件。血的教训

远程桌面网关

@iomect 一眼就看到几个腾讯云的 IP

主要是不像 ssh 可以用双向公钥认证，RDP 好像并不能设置这个，只能用 TLS 单向认证+Windows 内置的账户密码认证，又没有什么防爆破措施，个人不太信任双向公钥以外的认证方法。