V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wanmyj
V2EX  ›  宽带症候群

windows 远程桌面, rdp 通过端口映射开放到公网访问,有什么好的安全措施吗

  •  
  •   wanmyj · 363 天前 · 7771 次点击
    这是一个创建于 363 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题,有时候需要临时连一下,不开 VPN 的情况下,感觉端口映射有点危险,但也是有 RDP 需求。
    54 条回复    2023-12-06 15:34:01 +08:00
    Quarter
        1
    Quarter  
       363 天前 via Android
    额,组网或者套一个 VPN
    maybeonly
        2
    maybeonly  
       363 天前
    不是弱密码并且补丁都打了的情况下,问题不大。
    datocp
        3
    datocp  
       363 天前 via Android
    当然还是 vpn 其它的叫 knock iptables ,没用过。
    cjpjxjx
        4
    cjpjxjx  
       363 天前 via iPhone   ❤️ 2
    在 V2 ,问就是让你上 VPN
    srlp
        5
    srlp  
       363 天前 via iPhone
    tailscale 或者 zerotier
    PrinceofInj
        6
    PrinceofInj  
       363 天前   ❤️ 1
    我的一直开着,补丁打全,密码别用简单的,开了有一年了,没啥问题。检查日志,偶尔会收到一些爆破的,但是用的都是些常用账号尝试的,我直接用的微软账号,普通账号压根没开,谅爆破者到地老天荒都进不来。
    alexwu
        7
    alexwu  
       363 天前
    改端口,经常更新系统
    beyondstars
        8
    beyondstars  
       363 天前
    不使用 RDP 默认端口,不把 RDP 的端口映射到公网上,把 ssh 的端口映射到公网上,需要连接的时候用 ssh -L 转发。
    iomect
        9
    iomect  
       363 天前   ❤️ 4
    我的主力机装了 eset nod32 防火墙会自动挡住
    其他的各 win 虚拟机上面装一个软件 rdp defender 爆破 ip 会被自动黑名单
    实际效果这样子
    iamobj
        10
    iamobj  
       363 天前   ❤️ 1
    我是做了个微信机器人,然后通过发送指令控制是否开启端口映射,要远程了我就发指令开启,远程完就关闭,这样最稳妥,减少暴露公网的时间
    ranaanna
        11
    ranaanna  
       363 天前
    @iomect 好丑的用户界面。另外 windows defender firewall 挡不住吗,还需要这些(过时、收钱、无效、冗余)的软件来挡?
    jarryson
        12
    jarryson  
       363 天前
    还有个后台服务软件叫 ipban ,能提供一样的功能,我现在在用。

    改端口,禁用 NLA ,NTLM ,应该会好一点。目前没发现有人尝试。之前开了 ssh 端口,也改了端口,才开了两天都被植挖矿病毒
    Archeb
        13
    Archeb  
       363 天前
    密码加强,系统版本及时更新,使用最新加密方法。

    全世界用公网 RDP 的多了,奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全,一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。

    实在不放心,RDP 也支持双向证书认证,这个足够安全了吧。
    Damn
        14
    Damn  
       363 天前 via iPhone
    我高位端口弱密码跑了多年了也没中过招。。
    allpass2023
        15
    allpass2023  
       363 天前
    除了当年的 WIN2000/XP 可以用空密码远程,之后好像都没有听说过出问题。

    非重点目标的话,用非标端口+非默认用户+复杂密码应该够安全了。
    Tumblr
        16
    Tumblr  
       363 天前
    高位端口+强密码+动态 IP ,相当于 100%安全,几乎可以认为不可入侵。
    chunson
        17
    chunson  
       363 天前 via Android
    我之前用过内网穿透+端口转发,还是弱口令,直接中勒索病毒,还好没什么重要文件。血的教训
    clorischan
        18
    clorischan  
       363 天前
    远程桌面网关
    datou
        19
    datou  
       363 天前
    @iomect 一眼就看到几个腾讯云的 IP
    jim9606
        20
    jim9606  
       363 天前
    主要是不像 ssh 可以用双向公钥认证,RDP 好像并不能设置这个,只能用 TLS 单向认证+Windows 内置的账户密码认证,又没有什么防爆破措施,个人不太信任双向公钥以外的认证方法。
    xixiv5
        21
    xixiv5  
       363 天前
    @iomect 我进官网没看到这个软件的下载地址,你方便发一下吗?
    icaolei
        22
    icaolei  
       363 天前
    公网 IPv6 ,3389 端口一直开着的。不过一般是关机状态,远程需要用的时候会先 WOL 唤醒下再连。
    Chad0000
        23
    Chad0000  
       363 天前 via iPhone
    改默认端口就能解决 99%的攻击问题。我改后好多年了都没有再被爆破过。
    ltkun
        24
    ltkun  
       363 天前 via Android
    为啥要暴露公网 wireguard 不行吗
    opengps
        25
    opengps  
       363 天前
    第一强密码
    第二改成非默认端口
    很多服务器甚至都只完成第一步,所以这两部加起来已经可以避免绝大多数有效攻击了
    zggsong
        26
    zggsong  
       362 天前
    堡垒机,nextterminal
    Archeb
        27
    Archeb  
       362 天前
    @jim9606 RDP 支持智能卡认证,相当于要求本地物理密钥,更安全。不过配置似乎非常麻烦
    smallfount
        28
    smallfount  
       362 天前
    非标端口复杂密码关默认用户名。。可以的话把 ping 也关了。。
    mortal
        29
    mortal  
       362 天前
    IPv6 only + DDNSv6 + 非默认端口 + 最新版本 RDP ,没有被爆过。
    为什么不用 VPN ?是觉得会影响其他网络,还是嫌麻烦?
    前者还可以使用 SS + RDP over socks5 解决,后者有一些 RDP 软件可以自动在连接之前拨号 VPN 。
    Rache1
        30
    Rache1  
       362 天前
    Duo security 可以加二次验证。
    deorth
        31
    deorth  
       362 天前 via Android
    just dont
    iomect
        32
    iomect  
       362 天前
    @xixiv5 #21 使用 Google 搜索 rdp defender 2.4 就有下载地址
    asdgsdg98
        33
    asdgsdg98  
       362 天前
    防火墙 default deny
    loopinfor
        34
    loopinfor  
       362 天前 via Android
    要注意有时你以为只有微软账号能登陆,实际上本地缩写用户名也是可以登录的
    565656
        35
    565656  
       362 天前
    装个火绒就行了 3306 改成 6666
    photon006
        36
    photon006  
       362 天前   ❤️ 2
    我中过勒索病毒,我有发言权[doge]

    1 、首先 rdp 需要帐号密码一起登录,帐号别用 Administrator ,用这个相当于破解成功了一半,用自定义名称加大难度。

    2 、抵御暴力破解,linux 下有个工具叫 fail2ban 可以很方便防御暴力破解,windows 也有类似的: https://github.com/DigitalRuby/IPBan ,但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽,如果是内网穿透暴露到公网则无效,所以 IPBan 只能用在公网 ip 端口转发场景下(既然都端口转发了顺便把入站端口改成高位端口,别用默认 3389 ),而内网穿透可以做到更安全,比如 frp 的 tcp 模式是穿透到互联网完全暴露,stcp 模式只穿透到公网上的某个局域网,安全很多很多。

    比较这 3 种方案,frp + tcp 安全性最差,公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解,frp + stcp 不会,在需要访问的本机启动 visitor 客户端,则只有自己能访问远程 rdp ,安全性很接近 vpn ,不管本机是 linux 还是 windows 都可以设置 visitor 开机自启,用起来很方便,linux 用 docker ,windows 用 winsw 写入服务。

    3 、验证效果,打开 windows 事件查看器,搜索 4625 可以看到被暴力破解次数,过去 7 天 32897 次:




    4 、最安全还是 vpn ,暴露的攻击面小很多,比如 wireguard 只暴露一个 udp 端口,即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ,不过传输带宽依赖于 vps ,实测 1M 也可以 rdp 。

    我发现也有弊端,vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈,这是我所不希望的。



    总结起来,frp + stcp 和 vpn 这 2 种方案不会被暴力破解,4625 失败登录次数会是 0 。
    laminux29
        37
    laminux29  
       362 天前
    1.经常观察本地 IP 地址段,把地址段的 IP 以 16 位掩码,做成白名单。此举直接灭掉 99% 的扫描、入侵与攻击。

    2.安装 wailban ,安全加 0.9%。

    3.经常更新补丁 + 安装 360 安全卫士 + 复杂密码,补齐最后的 0.1%,直接无敌。
    lefthand2006
        38
    lefthand2006  
       362 天前
    我是 surge+ss server vpn 回家
    pluszone
        39
    pluszone  
       362 天前
    RDP 基础上,用上屏幕锁,告诉你密码 你也进不到桌面。有其他招吗?
    goodryb
        40
    goodryb  
       361 天前
    @photon006 查了下最近 7 天 2.37w 登录, 虽然改了默认端口,还是逃不过被扫描
    photon006
        41
    photon006  
       361 天前
    @goodryb 是的改端口没啥用,关键是要缩小暴露范围,frp + stcp 或 vpn 都是这个目的。
    l8L12cwti87t9Kwg
        42
    l8L12cwti87t9Kwg  
       361 天前
    小公司的网,解析到域名,开了 5 年,目前没发现问题。
    如楼上前面人所说,
    1. 不要用 administrator
    2. 然后密码复杂化
    3.可以用组策略里定制下安全策略,比如登录失败 3 次锁定等等
    winson030
        43
    winson030  
       361 天前
    推荐 tailscale ,很稳!
    1014982466
        44
    1014982466  
       361 天前
    日经贴,你问就是 VPN
    但是个人就 TODESK+远程桌面就行了,最新的系统+自己的用户名和密码它破到下辈子也破不开
    sxbxjhwm
        45
    sxbxjhwm  
       360 天前
    ssh 隧道解决问题
    starinmars
        46
    starinmars  
       360 天前
    申请一个证书,开启 ssl 。这样也比较安全吧!
    Laoz666
        47
    Laoz666  
       360 天前
    直接 tailscale 组网 相当于内网链接
    chenpbh
        48
    chenpbh  
       360 天前
    我现在是安装 ssh-server ,然后通过 ssh 打隧道再远程桌面,上次开远程桌面被黑了,怕了
    mm2x
        49
    mm2x  
       360 天前
    我直接使用 IPv6+非标高端口+强密码。我认为还算安全。没发现端口被扫过哈哈。。毕竟电信给了/56 .咋扫呢
    ayase46k
        50
    ayase46k  
       359 天前
    腾讯云 frp ,高位端口,32 位随机生成密码,禁用默认账号密码,定期更新安全补丁,最近 7 天被爆破 1.7w 次。已经用了半年,暂时没有被黑过。
    xwit
        51
    xwit  
       359 天前
    @photon006 wg,按说是可以指定网段的,如果不写 0.0.0.,应该不会绕
    fengyaochen
        52
    fengyaochen  
       357 天前 via iPhone
    账户名用奇葩一点的名字
    Satansickle
        53
    Satansickle  
       356 天前
    不要暴露 ipv4 ,用 v6 地址连接 RDP
    photon006
        54
    photon006  
       345 天前
    @xwit 确实是,今天解决了这个大问题,感谢。

    不用默认 AllowedIPs=0.0.0.0 ,路由就不会默认走远端 peer ,而是优先使用本地网络,完美。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2230 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 00:45 · PVG 08:45 · LAX 16:45 · JFK 19:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.