V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
升级到 Windows 11
geekyouth
V2EX  ›  Windows

Win10 通过微软账号远程桌面登录,如何开启二次认证

  •  
  •   geekyouth · 137 天前 · 2257 次点击
    这是一个创建于 137 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经常检测到暴力破解远程桌面的记录,只通过密码来保护远程桌面登录有点慌啊。

    检测到远程桌面暴力破解,攻击者:143.92.*
    检测到远程桌面暴力破解,攻击者:1.255.*
    

    那么 Win10 有没有低成本实现微软账号远程桌面登录二次认证的方案?

    我查过 google ,目前相关的方案是 https://xz.aliyun.com/t/5343 ,通过 Duo Security 来实现本地账号登录,但是不支持微软账号,那么还有别的办法吗?

    33 条回复    2022-01-05 08:47:06 +08:00
    jasonchn
        1
    jasonchn  
       137 天前 via Android
    都能公网开放 UDP 3389 了 为啥不把桌面放到 OPEN VPN 后边,OPENVPN 基于证书认证 啥攻击都没辙
    geekyouth
        2
    geekyouth  
    OP
       137 天前
    @jasonchn
    那我还得在远程机器和本地机器都部署 openvpn 节点啊,操作成本有点高啊。
    steptodream
        3
    steptodream  
       137 天前
    @jasonchn openvpn 在国内大环境下用会不会被河蟹啊,我上半年回国在国内用 openvpn 出境,就一个人用,用了一个多月服务器就被河蟹了。
    yaoyao1128
        4
    yaoyao1128  
       137 天前 via iPhone
    用过 miniorange 但是不知道现在能不能支持微软账户了……
    yaoyao1128
        5
    yaoyao1128  
       137 天前 via iPhone
    以及 不打开 administrator 的远程登录 改一下端口 禁止管理员登陆 rdp (只允许普通权限账户登陆 用 uac 控制)可能就不太容易爆破了
    Rache1
        6
    Rache1  
       137 天前
    之前用过 Duo Security(duo.com) 提供的二次认证,还行
    DTCPSS
        7
    DTCPSS  
       137 天前
    我把 RDP 放在 SSH 后面,然后转发 3389 端口
    geekyouth
        8
    geekyouth  
    OP
       137 天前
    @Rache1
    不支持 微软账号远程登录吧?
    cweijan
        9
    cweijan  
       137 天前
    试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网.
    luzhh
        10
    luzhh  
       137 天前
    问一下,是通过什么方式检测到的。
    yzc27
        11
    yzc27  
       137 天前
    我司是把 RDP 放在 Cisco anyconnect 后面,连 Cisco anyconnect 时就有二次认证,所以登 RDP 就直接用账户密码,没额外再来一次二次认证了。
    LANB0
        12
    LANB0  
       137 天前
    贝锐家的蒲公英可以满足,就是楼上说的异地组网,打洞成功很给力
    forgottencoast
        13
    forgottencoast  
       137 天前
    看到楼上有人讨论证书,Win10 的远程登陆不也是通过证书的吗?
    所以应该可以从证书方面入手吧?
    yaoyao1128
        14
    yaoyao1128  
       137 天前 via iPhone
    @forgottencoast 证书可以 不过前提上 ad
    Rache1
        15
    Rache1  
       137 天前
    @geekyouth 可以呀,我就是用的微软账号登录的
    ysc3839
        16
    ysc3839  
       137 天前
    @forgottencoast rdp 还是使用用户名密码认证的,虽然 rdp 传输会用 TLS 加密,但是只是服务器有个证书,类似 ssh 的 server key ,服务器不会验证客户端的证书。
    internelp
        17
    internelp  
       137 天前
    @steptodream 国内到国内,一般不会
    jwwang
        18
    jwwang  
       137 天前
    @Rache1 楼主发的方案链接说明了用微软账号登录绕过了 2FA
    Rache1
        19
    Rache1  
       137 天前
    @jwwang 之前也是看这个教程配置的,但是我用着好像没啥问题哇,就即使使用微软账号,他还是会弹那个框,我取消了用微软账号登入,它还是会回到那个二次验证的框框
    remxme
        20
    remxme  
       137 天前
    防火墙加上 ip 限制
    lonewolfakela
        21
    lonewolfakela  
       137 天前
    实话说搞这么多麻烦事不如把密码改成一个特长随机字符串……
    geekyouth
        22
    geekyouth  
    OP
       137 天前
    ```
    > 试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网.
    ```

    @cweijan
    本质就是架设 vpn 环境吗?这样会不会导致宽带速率变慢呢,我想在公网上传输数据,网速很快。
    geekyouth
        23
    geekyouth  
    OP
       137 天前
    @luzhh
    不吹不黑,360 安全防护中心日志记录就自带了这个功能
    luzhh
        24
    luzhh  
       137 天前
    @geekyouth 好家伙,那我还是改个复杂点的密码吧。
    FullBridgeRect
        25
    FullBridgeRect  
       137 天前
    @steptodream 国内运营商只见过管大流量和 http 服务器,其他都没见过管
    emberzhang
        26
    emberzhang  
       136 天前
    @steptodream 跨境当然不行,侦测协议毫无难度。至于境内到境内的连接怎么可能有闲工夫管你,我用了十年啥事没有。
    crab
        27
    crab  
       136 天前
    别用默认的 3389 端口就能避免不少了,ipsec 上只允许你的 IP 段请求 3389 。
    PatrickLe
        28
    PatrickLe  
       136 天前
    我觉得没必要折腾换端口、vpn 什么的,浪费时间
    我的就是默认端口 3389 ,开启了转发,用的 Administer 账户,但是我的密码是 1p 生成的 50 位超复杂随机密码,用了大半年了,每天 24 小时被扫,也没出问题
    密码复杂程度差不多就是这样:fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E
    等到爆破估计得天荒地老吧😂
    Showfom
        29
    Showfom  
       136 天前
    happy61
        30
    happy61  
       136 天前
    之前有看过 windows Hello 企业版,但是配置极为复杂。。所以就没研究下去,我也想知道,为自己的 RDP 服务,多一层保障
    happy61
        31
    happy61  
       136 天前
    https://github.com/saifsuleman/gatekeeper

    RDP 的代理,先验证 2fa 再链接。。或许也是一个方法
    zyqv2
        32
    zyqv2  
       136 天前 via Android
    复杂密码+安全组设置密码错误多少次不让重试,或者 Windows 关闭远程 3389 ,开启 openssh server ,只允许秘钥登录,ssh 通道 rdp ,再就是 wireguard 咯
    geekyouth
        33
    geekyouth  
    OP
       136 天前 via iPhone
    @PatrickLe
    假如你的密码泄露了,这种新闻太多,那么不加二次认证就很危险
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2453 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 15:27 · PVG 23:27 · LAX 08:27 · JFK 11:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.