我中过勒索病毒,我有发言权[doge]
1 、首先 rdp 需要帐号密码一起登录,帐号别用 Administrator ,用这个相当于破解成功了一半,用自定义名称加大难度。
2 、抵御暴力破解,linux 下有个工具叫 fail2ban 可以很方便防御暴力破解,windows 也有类似的:
https://github.com/DigitalRuby/IPBan ,但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽,如果是内网穿透暴露到公网则无效,所以 IPBan 只能用在公网 ip 端口转发场景下(既然都端口转发了顺便把入站端口改成高位端口,别用默认 3389 ),而内网穿透可以做到更安全,比如 frp 的 tcp 模式是穿透到互联网完全暴露,stcp 模式只穿透到公网上的某个局域网,安全很多很多。
比较这 3 种方案,frp + tcp 安全性最差,公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解,frp + stcp 不会,在需要访问的本机启动 visitor 客户端,则只有自己能访问远程 rdp ,安全性很接近 vpn ,不管本机是 linux 还是 windows 都可以设置 visitor 开机自启,用起来很方便,linux 用 docker ,windows 用 winsw 写入服务。
3 、验证效果,打开 windows 事件查看器,搜索 4625 可以看到被暴力破解次数,过去 7 天 32897 次:
4 、最安全还是 vpn ,暴露的攻击面小很多,比如 wireguard 只暴露一个 udp 端口,即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ,不过传输带宽依赖于 vps ,实测 1M 也可以 rdp 。
我发现也有弊端,vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈,这是我所不希望的。
总结起来,frp + stcp 和 vpn 这 2 种方案不会被暴力破解,4625 失败登录次数会是 0 。