V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wanmyj
V2EX  ›  宽带症候群

windows 远程桌面, rdp 通过端口映射开放到公网访问,有什么好的安全措施吗

  •  
  •   wanmyj · 2023-11-18 19:47:48 +08:00 · 7844 次点击
    这是一个创建于 369 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题,有时候需要临时连一下,不开 VPN 的情况下,感觉端口映射有点危险,但也是有 RDP 需求。
    55 条回复    2024-11-18 15:40:42 +08:00
    Quarter
        1
    Quarter  
       2023-11-18 19:53:05 +08:00 via Android
    额,组网或者套一个 VPN
    maybeonly
        2
    maybeonly  
       2023-11-18 20:01:59 +08:00
    不是弱密码并且补丁都打了的情况下,问题不大。
    datocp
        3
    datocp  
       2023-11-18 20:02:09 +08:00 via Android
    当然还是 vpn 其它的叫 knock iptables ,没用过。
    cjpjxjx
        4
    cjpjxjx  
       2023-11-18 21:24:37 +08:00 via iPhone   ❤️ 2
    在 V2 ,问就是让你上 VPN
    srlp
        5
    srlp  
       2023-11-18 21:26:09 +08:00 via iPhone
    tailscale 或者 zerotier
    PrinceofInj
        6
    PrinceofInj  
       2023-11-18 21:32:23 +08:00   ❤️ 1
    我的一直开着,补丁打全,密码别用简单的,开了有一年了,没啥问题。检查日志,偶尔会收到一些爆破的,但是用的都是些常用账号尝试的,我直接用的微软账号,普通账号压根没开,谅爆破者到地老天荒都进不来。
    alexwu
        7
    alexwu  
       2023-11-18 21:35:07 +08:00
    改端口,经常更新系统
    beyondstars
        8
    beyondstars  
       2023-11-18 21:40:47 +08:00
    不使用 RDP 默认端口,不把 RDP 的端口映射到公网上,把 ssh 的端口映射到公网上,需要连接的时候用 ssh -L 转发。
    iomect
        9
    iomect  
       2023-11-18 21:44:44 +08:00   ❤️ 4
    我的主力机装了 eset nod32 防火墙会自动挡住
    其他的各 win 虚拟机上面装一个软件 rdp defender 爆破 ip 会被自动黑名单
    实际效果这样子
    iamobj
        10
    iamobj  
       2023-11-18 22:19:34 +08:00   ❤️ 1
    我是做了个微信机器人,然后通过发送指令控制是否开启端口映射,要远程了我就发指令开启,远程完就关闭,这样最稳妥,减少暴露公网的时间
    ranaanna
        11
    ranaanna  
       2023-11-18 22:39:54 +08:00
    @iomect 好丑的用户界面。另外 windows defender firewall 挡不住吗,还需要这些(过时、收钱、无效、冗余)的软件来挡?
    jarryson
        12
    jarryson  
       2023-11-18 22:49:42 +08:00
    还有个后台服务软件叫 ipban ,能提供一样的功能,我现在在用。

    改端口,禁用 NLA ,NTLM ,应该会好一点。目前没发现有人尝试。之前开了 ssh 端口,也改了端口,才开了两天都被植挖矿病毒
    Archeb
        13
    Archeb  
       2023-11-18 22:51:02 +08:00
    密码加强,系统版本及时更新,使用最新加密方法。

    全世界用公网 RDP 的多了,奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全,一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。

    实在不放心,RDP 也支持双向证书认证,这个足够安全了吧。
    Damn
        14
    Damn  
       2023-11-18 23:05:31 +08:00 via iPhone
    我高位端口弱密码跑了多年了也没中过招。。
    allpass2023
        15
    allpass2023  
       2023-11-18 23:37:22 +08:00
    除了当年的 WIN2000/XP 可以用空密码远程,之后好像都没有听说过出问题。

    非重点目标的话,用非标端口+非默认用户+复杂密码应该够安全了。
    Tumblr
        16
    Tumblr  
       2023-11-18 23:52:11 +08:00
    高位端口+强密码+动态 IP ,相当于 100%安全,几乎可以认为不可入侵。
    chunson
        17
    chunson  
       2023-11-18 23:52:30 +08:00 via Android
    我之前用过内网穿透+端口转发,还是弱口令,直接中勒索病毒,还好没什么重要文件。血的教训
    clorischan
        18
    clorischan  
       2023-11-19 00:37:33 +08:00
    远程桌面网关
    datou
        19
    datou  
       2023-11-19 00:51:04 +08:00
    @iomect 一眼就看到几个腾讯云的 IP
    jim9606
        20
    jim9606  
       2023-11-19 02:14:35 +08:00
    主要是不像 ssh 可以用双向公钥认证,RDP 好像并不能设置这个,只能用 TLS 单向认证+Windows 内置的账户密码认证,又没有什么防爆破措施,个人不太信任双向公钥以外的认证方法。
    xixiv5
        21
    xixiv5  
       2023-11-19 02:17:37 +08:00
    @iomect 我进官网没看到这个软件的下载地址,你方便发一下吗?
    icaolei
        22
    icaolei  
       2023-11-19 02:22:15 +08:00
    公网 IPv6 ,3389 端口一直开着的。不过一般是关机状态,远程需要用的时候会先 WOL 唤醒下再连。
    Chad0000
        23
    Chad0000  
       2023-11-19 04:31:42 +08:00 via iPhone
    改默认端口就能解决 99%的攻击问题。我改后好多年了都没有再被爆破过。
    ltkun
        24
    ltkun  
       2023-11-19 06:44:22 +08:00 via Android
    为啥要暴露公网 wireguard 不行吗
    opengps
        25
    opengps  
       2023-11-19 07:39:44 +08:00
    第一强密码
    第二改成非默认端口
    很多服务器甚至都只完成第一步,所以这两部加起来已经可以避免绝大多数有效攻击了
    zggsong
        26
    zggsong  
       2023-11-19 09:30:49 +08:00
    堡垒机,nextterminal
    Archeb
        27
    Archeb  
       2023-11-19 09:52:22 +08:00
    @jim9606 RDP 支持智能卡认证,相当于要求本地物理密钥,更安全。不过配置似乎非常麻烦
    smallfount
        28
    smallfount  
       2023-11-19 10:11:42 +08:00
    非标端口复杂密码关默认用户名。。可以的话把 ping 也关了。。
    mortal
        29
    mortal  
       2023-11-19 10:25:42 +08:00
    IPv6 only + DDNSv6 + 非默认端口 + 最新版本 RDP ,没有被爆过。
    为什么不用 VPN ?是觉得会影响其他网络,还是嫌麻烦?
    前者还可以使用 SS + RDP over socks5 解决,后者有一些 RDP 软件可以自动在连接之前拨号 VPN 。
    Rache1
        30
    Rache1  
       2023-11-19 10:40:39 +08:00
    Duo security 可以加二次验证。
    deorth
        31
    deorth  
       2023-11-19 10:52:08 +08:00 via Android
    just dont
    iomect
        32
    iomect  
       2023-11-19 11:24:56 +08:00
    @xixiv5 #21 使用 Google 搜索 rdp defender 2.4 就有下载地址
    asdgsdg98
        33
    asdgsdg98  
       2023-11-19 12:41:21 +08:00
    防火墙 default deny
    loopinfor
        34
    loopinfor  
       2023-11-19 13:34:34 +08:00 via Android
    要注意有时你以为只有微软账号能登陆,实际上本地缩写用户名也是可以登录的
    565656
        35
    565656  
       2023-11-19 13:37:21 +08:00
    装个火绒就行了 3306 改成 6666
    photon006
        36
    photon006  
       2023-11-19 14:25:40 +08:00   ❤️ 2
    我中过勒索病毒,我有发言权[doge]

    1 、首先 rdp 需要帐号密码一起登录,帐号别用 Administrator ,用这个相当于破解成功了一半,用自定义名称加大难度。

    2 、抵御暴力破解,linux 下有个工具叫 fail2ban 可以很方便防御暴力破解,windows 也有类似的: https://github.com/DigitalRuby/IPBan ,但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽,如果是内网穿透暴露到公网则无效,所以 IPBan 只能用在公网 ip 端口转发场景下(既然都端口转发了顺便把入站端口改成高位端口,别用默认 3389 ),而内网穿透可以做到更安全,比如 frp 的 tcp 模式是穿透到互联网完全暴露,stcp 模式只穿透到公网上的某个局域网,安全很多很多。

    比较这 3 种方案,frp + tcp 安全性最差,公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解,frp + stcp 不会,在需要访问的本机启动 visitor 客户端,则只有自己能访问远程 rdp ,安全性很接近 vpn ,不管本机是 linux 还是 windows 都可以设置 visitor 开机自启,用起来很方便,linux 用 docker ,windows 用 winsw 写入服务。

    3 、验证效果,打开 windows 事件查看器,搜索 4625 可以看到被暴力破解次数,过去 7 天 32897 次:




    4 、最安全还是 vpn ,暴露的攻击面小很多,比如 wireguard 只暴露一个 udp 端口,即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ,不过传输带宽依赖于 vps ,实测 1M 也可以 rdp 。

    我发现也有弊端,vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈,这是我所不希望的。



    总结起来,frp + stcp 和 vpn 这 2 种方案不会被暴力破解,4625 失败登录次数会是 0 。
    laminux29
        37
    laminux29  
       2023-11-19 18:59:37 +08:00
    1.经常观察本地 IP 地址段,把地址段的 IP 以 16 位掩码,做成白名单。此举直接灭掉 99% 的扫描、入侵与攻击。

    2.安装 wailban ,安全加 0.9%。

    3.经常更新补丁 + 安装 360 安全卫士 + 复杂密码,补齐最后的 0.1%,直接无敌。
    lefthand2006
        38
    lefthand2006  
       2023-11-19 19:29:39 +08:00
    我是 surge+ss server vpn 回家
    pluszone
        39
    pluszone  
       2023-11-19 22:12:51 +08:00
    RDP 基础上,用上屏幕锁,告诉你密码 你也进不到桌面。有其他招吗?
    goodryb
        40
    goodryb  
       2023-11-20 10:20:42 +08:00
    @photon006 查了下最近 7 天 2.37w 登录, 虽然改了默认端口,还是逃不过被扫描
    photon006
        41
    photon006  
       2023-11-20 10:31:15 +08:00
    @goodryb 是的改端口没啥用,关键是要缩小暴露范围,frp + stcp 或 vpn 都是这个目的。
    l8L12cwti87t9Kwg
        42
    l8L12cwti87t9Kwg  
       2023-11-20 10:35:47 +08:00
    小公司的网,解析到域名,开了 5 年,目前没发现问题。
    如楼上前面人所说,
    1. 不要用 administrator
    2. 然后密码复杂化
    3.可以用组策略里定制下安全策略,比如登录失败 3 次锁定等等
    winson030
        43
    winson030  
       2023-11-20 15:17:58 +08:00
    推荐 tailscale ,很稳!
    1014982466
        44
    1014982466  
       2023-11-20 20:31:05 +08:00
    日经贴,你问就是 VPN
    但是个人就 TODESK+远程桌面就行了,最新的系统+自己的用户名和密码它破到下辈子也破不开
    sxbxjhwm
        45
    sxbxjhwm  
       2023-11-21 10:24:46 +08:00
    ssh 隧道解决问题
    starinmars
        46
    starinmars  
       2023-11-21 10:25:42 +08:00
    申请一个证书,开启 ssl 。这样也比较安全吧!
    Laoz666
        47
    Laoz666  
       2023-11-21 13:50:38 +08:00
    直接 tailscale 组网 相当于内网链接
    chenpbh
        48
    chenpbh  
       2023-11-21 15:04:11 +08:00
    我现在是安装 ssh-server ,然后通过 ssh 打隧道再远程桌面,上次开远程桌面被黑了,怕了
    mm2x
        49
    mm2x  
       2023-11-22 08:28:36 +08:00
    我直接使用 IPv6+非标高端口+强密码。我认为还算安全。没发现端口被扫过哈哈。。毕竟电信给了/56 .咋扫呢
    ayase46k
        50
    ayase46k  
       2023-11-22 10:32:02 +08:00
    腾讯云 frp ,高位端口,32 位随机生成密码,禁用默认账号密码,定期更新安全补丁,最近 7 天被爆破 1.7w 次。已经用了半年,暂时没有被黑过。
    xwit
        51
    xwit  
       2023-11-22 20:49:53 +08:00
    @photon006 wg,按说是可以指定网段的,如果不写 0.0.0.,应该不会绕
    fengyaochen
        52
    fengyaochen  
       363 天前 via iPhone
    账户名用奇葩一点的名字
    Satansickle
        53
    Satansickle  
       362 天前
    不要暴露 ipv4 ,用 v6 地址连接 RDP
    photon006
        54
    photon006  
       351 天前
    @xwit 确实是,今天解决了这个大问题,感谢。

    不用默认 AllowedIPs=0.0.0.0 ,路由就不会默认走远端 peer ,而是优先使用本地网络,完美。
    Fluctuations
        55
    Fluctuations  
       3 天前
    @iamobj 思路很好啊兄弟
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3366 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 00:44 · PVG 08:44 · LAX 16:44 · JFK 19:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.