V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
x2009again
V2EX  ›  Windows

windows 远程服务安全性,防止爆破

  •  
  •   x2009again · 2020-12-15 20:44:07 +08:00 · 5640 次点击
    这是一个创建于 1429 天前的主题,其中的信息可能已经有所发展或是发生改变。
    平时没有看 windows 服务器审核日志的习惯,今天一看 2 台自己的 windows vps 一直再被人爆破,vps 以前都改了远程端口了,都禁用了共享端口,用户名也非默认,现在出现被人爆破应该是被人扫描到了端口,然后尝试登录,不知道大佬们都是怎么处理 rdp 安全的,我有几个想法。1 、开放几个非 rdp 端口用来做伪装,如果有人访问这个端口就拉黑 ip,2 、设置一个 linux 服务器 ip 为可以远程的 ip,服务器上安装 frp,通过 frp 的 stcp 方式来远程,这样的话只有 frpc 连接成功后才能远程。
    36 条回复    2023-07-14 23:30:44 +08:00
    jasonyang9
        1
    jasonyang9  
       2020-12-15 21:07:47 +08:00
    我能想到的有:port knocking,ssh proxy jump,vpn (wireguard 等)
    当然如果 rdp 能够用密钥登录那是最方便的,但。。。
    opengps
        2
    opengps  
       2020-12-15 21:24:02 +08:00
    好像注册表还是组策略的,有个项目,可以设置失败次数限制延迟时间的
    crab
        3
    crab  
       2020-12-15 21:36:39 +08:00
    提高密码复杂度,就是跑到天荒地老都没用。
    opengps
        4
    opengps  
       2020-12-15 21:58:39 +08:00
    为了避免大家往同一个方向去考虑,我补充下另外一个防护方向:企业一般会选用堡垒机,或者 VPN 安全拨入内网后使用内网访问
    x2009again
        5
    x2009again  
    OP
       2020-12-15 22:07:26 +08:00
    @opengps 我的思路 2 就是类似堡垒机,通过 frps 服务器来远程,不过这种方式有个问题,好像手机就不能远程上去了,目前 frp 只支持 pc
    xmlf
        6
    xmlf  
       2020-12-15 22:10:44 +08:00 via Android
    @x2009again 家里路由器不用上干吗?或者服务器上装个 wireguard,手机连上去
    WordTian
        7
    WordTian  
       2020-12-15 22:30:01 +08:00 via Android
    默认用户名 administrator 改掉或禁用,密码复杂点,个人使用基本够了
    0TSH60F7J2rVkg8t
        8
    0TSH60F7J2rVkg8t  
       2020-12-15 22:42:16 +08:00 via iPhone
    fail2ban 有 for win 的版本,但我忘记名字了
    dream4ever
        9
    dream4ever  
       2020-12-15 22:58:19 +08:00
    用关键字 “fail2ban windows” Google 一下吧,相关的工具还是有的。
    AsiaToyo
        10
    AsiaToyo  
       2020-12-15 23:14:38 +08:00
    我是限制 IP 段鏈接,找比較穩定的 IP 段,然後限定訪問
    PUBG98k
        11
    PUBG98k  
       2020-12-15 23:24:30 +08:00
    只允许某个 IP,IP 段 访问 RDP
    billytom
        12
    billytom  
       2020-12-15 23:29:02 +08:00
    @opengps 像这种 VPN 内网登陆的,机器应该没有公网权限,那 windows 就不用更新系统了?打补丁之类的了?
    opengps
        13
    opengps  
       2020-12-15 23:39:53 +08:00
    @billytom 你忽略了网络访问方向:
    别人访问服务器,这是入方向。这是目前运维人员最常用的端口防御策略,比如安全组防火墙等。
    服务器访问外部,这是出方向。windows 更新属于这个方向。一般来说,只有特别高级要求的安全策略,才对这个方向进行控制,实现比如木马及时进入也无法对外取得联系的效果。
    opengps
        14
    opengps  
       2020-12-15 23:41:22 +08:00
    @billytom 更通俗的例子:你家里能上网,几乎没有任何限制。但是你在家里电脑上发布个网站,从外部访问进来却比较费劲
    billytom
        15
    billytom  
       2020-12-16 05:53:14 +08:00 via iPhone
    @opengps 谢谢回答,但我不理解的是如果禁掉入站,光开出站流量也不顶用啊,目前我司是 vpn 进内网方式确保安全的,windows 太多漏洞了,害怕
    anyclue
        16
    anyclue  
       2020-12-16 08:17:40 +08:00
    提高密码复杂度,就是跑到天荒地老都没用。
    ragnaroks
        17
    ragnaroks  
       2020-12-16 08:38:02 +08:00
    ipban,我设置的是失败两次(忽略时间)则永久屏蔽,2 年多了没被偷过

    如果安全性要求较高,还是得堡垒机靠谱
    mingl0280
        18
    mingl0280  
       2020-12-16 08:40:45 +08:00 via Android
    上智能卡登录啊……
    0312birdzhang
        19
    0312birdzhang  
       2020-12-16 09:02:46 +08:00 via iPhone
    上双因素认证
    whitefox027
        20
    whitefox027  
       2020-12-16 09:08:03 +08:00
    我是用脚本修改服务器密码,一种是定时修改、另一种是远程连接断开后立即修改。修改之后将新的密码加密存放在数据库,需要远程的时候从数据库读取最新的密文进行解密,然后将我本地的 ip 加入防火墙策略,同时生成 rdp 文件。远程断开之后立即修改密码,修改防火墙策略。
    Eytoyes
        21
    Eytoyes  
       2020-12-16 09:26:22 +08:00
    我自己是高位端口+复杂密码+更新补丁防范绝大部分攻击,爆破不可怕,弱密码和协议漏洞才要命,爆破只是让日志难看一点
    laminux29
        22
    laminux29  
       2020-12-16 09:55:55 +08:00
    你可以自己写个程序,生成 16 位大小写加符号的密码。理论上,除非量子计算机,否则全球计算机一起破解,以现在的算力,百年内破不了。

    当然,这种密码,不方便记忆,也不方便存储。

    对此我有更好的建议:

    自定义前缀 + 可记录的包含大小写 /符号 /数字的复杂密码 + 固定算法加盐。

    其中自定义前缀与固定算法,要选方便背诵的,记在脑子里。

    固定算法还要选方便口算的。


    举个例子,对于本站的密码:

    自定义前缀:passWd2020 。这种好背诵吧?背诵下来,别写在任何纸质笔记本上,也别写在云笔记里。

    可记录的包含大小写 /符号 /数字的复杂密码:v2Ex_#xH9dY7 。这种密码,可以写在纸质笔记本上,也可以写在云笔记里。

    固定算法:把密码的最后一位,如果是字母,则大小写翻转,然后结尾再加固定字符串"2333";如果密码最后一位是数字,则加上乘以 4 的 intToString 字符串,再加固定字符串"2333"

    因为密码最后一个数字是 7,因此乘以 4,intToString 后是"28",再加"2333",因此固定算法产生的最终字符串为 282333

    最后,拼起来:

    passWd2020 + v2Ex_#xH9dY7 + 282333

    这种密码方案,既安全,又能记录在云笔记里。
    ytmsdy
        23
    ytmsdy  
       2020-12-16 10:49:20 +08:00
    1:改端口,我一般都是把 windows 的远程端口修改 22,linux 的远程端口修改为 3389
    2:搞一个随机密码,老长老长的那种。
    x2009again
        24
    x2009again  
    OP
       2020-12-16 13:41:54 +08:00
    @ragnaroks 这个昨天已经安装了,国外服务器有效果,国内的服务器爆破都没有 ip 地址的,效果不大
    x2009again
        25
    x2009again  
    OP
       2020-12-16 13:42:31 +08:00
    @whitefox027 你这个厉害,是 windows 服务器?
    x2009again
        26
    x2009again  
    OP
       2020-12-16 13:43:37 +08:00
    @laminux29 密码已经加入了随机密码,拆分存储了
    whitefox027
        27
    whitefox027  
       2020-12-16 15:26:56 +08:00
    @x2009again 对,专门针对 windows 服务器的,公司的 windows 服务器我全部都上了,
    jhytxy
        28
    jhytxy  
       2020-12-16 15:31:14 +08:00
    2fa 登陆
    duo.com

    随时随地安心登陆
    iloveayu
        29
    iloveayu  
       2020-12-16 16:02:25 +08:00
    强密码,定期修改防爆破。
    加 2FA,使用 Microsoft 账户登入和域账户的情况下,对 2FA 软件不友好,如果是 Server 操作系统+本地账户,不存在这问题。
    XiLingHost
        30
    XiLingHost  
       2020-12-16 16:20:52 +08:00
    目前来看,搭个 VPN 是最通用的方案了,手机也可以走 VPN 来登录的,只要支持 L2TP 或者 PPTP 这些协议就行
    ladypxy
        31
    ladypxy  
       2020-12-16 16:23:46 +08:00 via iPhone
    改掉 admin,设置复杂密码
    改端口,基本就可以了
    HFX3389
        32
    HFX3389  
       2020-12-16 16:34:29 +08:00
    @x2009again #24 国内的服务器爆破都没有 ip 地址的 是啥...记录不到 IP 的意思吗?
    whwlsfb
        33
    whwlsfb  
       2020-12-16 16:48:03 +08:00   ❤️ 1
    https://github.com/DigitalRuby/IPBan

    看到个这个工具不知道好不好用
    lopetver
        34
    lopetver  
       2020-12-16 16:52:03 +08:00
    最简单的方法 win 防火墙设置白名单 IP
    只允许白名单里面的 IP 远程
    weifan
        35
    weifan  
       2020-12-16 17:00:10 +08:00
    我认为 frp 更不安全...应该都有安全组吧,设一个你自己大概的 IP 段,密码强点,足以。大学那会,因为 IP 是固定的,我直接指定 IP 可访问某端口...
    yqs112358
        36
    yqs112358  
       2023-07-14 23:30:44 +08:00
    可以找找类似 Fail2Ban 的 Windows 版的项目,比如有个叫 wail2ban 的,还有这个 https://github.com/digitalruby/ipban ,等等
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5565 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 06:38 · PVG 14:38 · LAX 22:38 · JFK 01:38
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.