1
Quarter 363 天前 via Android
额,组网或者套一个 VPN
|
2
maybeonly 363 天前
不是弱密码并且补丁都打了的情况下,问题不大。
|
3
datocp 363 天前 via Android
当然还是 vpn 其它的叫 knock iptables ,没用过。
|
4
cjpjxjx 363 天前 via iPhone 2
在 V2 ,问就是让你上 VPN
|
5
srlp 363 天前 via iPhone
tailscale 或者 zerotier
|
6
PrinceofInj 363 天前 1
我的一直开着,补丁打全,密码别用简单的,开了有一年了,没啥问题。检查日志,偶尔会收到一些爆破的,但是用的都是些常用账号尝试的,我直接用的微软账号,普通账号压根没开,谅爆破者到地老天荒都进不来。
|
7
alexwu 363 天前
改端口,经常更新系统
|
8
beyondstars 363 天前
不使用 RDP 默认端口,不把 RDP 的端口映射到公网上,把 ssh 的端口映射到公网上,需要连接的时候用 ssh -L 转发。
|
9
iomect 363 天前 4
|
10
iamobj 363 天前 1
我是做了个微信机器人,然后通过发送指令控制是否开启端口映射,要远程了我就发指令开启,远程完就关闭,这样最稳妥,减少暴露公网的时间
|
12
jarryson 363 天前
还有个后台服务软件叫 ipban ,能提供一样的功能,我现在在用。
改端口,禁用 NLA ,NTLM ,应该会好一点。目前没发现有人尝试。之前开了 ssh 端口,也改了端口,才开了两天都被植挖矿病毒 |
13
Archeb 363 天前
密码加强,系统版本及时更新,使用最新加密方法。
全世界用公网 RDP 的多了,奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全,一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。 实在不放心,RDP 也支持双向证书认证,这个足够安全了吧。 |
14
Damn 363 天前 via iPhone
我高位端口弱密码跑了多年了也没中过招。。
|
15
allpass2023 363 天前
除了当年的 WIN2000/XP 可以用空密码远程,之后好像都没有听说过出问题。
非重点目标的话,用非标端口+非默认用户+复杂密码应该够安全了。 |
16
Tumblr 363 天前
高位端口+强密码+动态 IP ,相当于 100%安全,几乎可以认为不可入侵。
|
17
chunson 363 天前 via Android
我之前用过内网穿透+端口转发,还是弱口令,直接中勒索病毒,还好没什么重要文件。血的教训
|
18
clorischan 363 天前
远程桌面网关
|
20
jim9606 363 天前
主要是不像 ssh 可以用双向公钥认证,RDP 好像并不能设置这个,只能用 TLS 单向认证+Windows 内置的账户密码认证,又没有什么防爆破措施,个人不太信任双向公钥以外的认证方法。
|
22
icaolei 363 天前
公网 IPv6 ,3389 端口一直开着的。不过一般是关机状态,远程需要用的时候会先 WOL 唤醒下再连。
|
23
Chad0000 363 天前 via iPhone
改默认端口就能解决 99%的攻击问题。我改后好多年了都没有再被爆破过。
|
24
ltkun 363 天前 via Android
为啥要暴露公网 wireguard 不行吗
|
25
opengps 363 天前
第一强密码
第二改成非默认端口 很多服务器甚至都只完成第一步,所以这两部加起来已经可以避免绝大多数有效攻击了 |
26
zggsong 362 天前
堡垒机,nextterminal
|
28
smallfount 362 天前
非标端口复杂密码关默认用户名。。可以的话把 ping 也关了。。
|
29
mortal 362 天前
IPv6 only + DDNSv6 + 非默认端口 + 最新版本 RDP ,没有被爆过。
为什么不用 VPN ?是觉得会影响其他网络,还是嫌麻烦? 前者还可以使用 SS + RDP over socks5 解决,后者有一些 RDP 软件可以自动在连接之前拨号 VPN 。 |
30
Rache1 362 天前
Duo security 可以加二次验证。
|
31
deorth 362 天前 via Android
just dont
|
33
asdgsdg98 362 天前
防火墙 default deny
|
34
loopinfor 362 天前 via Android
要注意有时你以为只有微软账号能登陆,实际上本地缩写用户名也是可以登录的
|
35
565656 362 天前
装个火绒就行了 3306 改成 6666
|
36
photon006 362 天前 2
我中过勒索病毒,我有发言权[doge]
1 、首先 rdp 需要帐号密码一起登录,帐号别用 Administrator ,用这个相当于破解成功了一半,用自定义名称加大难度。 2 、抵御暴力破解,linux 下有个工具叫 fail2ban 可以很方便防御暴力破解,windows 也有类似的: https://github.com/DigitalRuby/IPBan ,但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽,如果是内网穿透暴露到公网则无效,所以 IPBan 只能用在公网 ip 端口转发场景下(既然都端口转发了顺便把入站端口改成高位端口,别用默认 3389 ),而内网穿透可以做到更安全,比如 frp 的 tcp 模式是穿透到互联网完全暴露,stcp 模式只穿透到公网上的某个局域网,安全很多很多。 比较这 3 种方案,frp + tcp 安全性最差,公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解,frp + stcp 不会,在需要访问的本机启动 visitor 客户端,则只有自己能访问远程 rdp ,安全性很接近 vpn ,不管本机是 linux 还是 windows 都可以设置 visitor 开机自启,用起来很方便,linux 用 docker ,windows 用 winsw 写入服务。 3 、验证效果,打开 windows 事件查看器,搜索 4625 可以看到被暴力破解次数,过去 7 天 32897 次: 4 、最安全还是 vpn ,暴露的攻击面小很多,比如 wireguard 只暴露一个 udp 端口,即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ,不过传输带宽依赖于 vps ,实测 1M 也可以 rdp 。 我发现也有弊端,vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈,这是我所不希望的。 总结起来,frp + stcp 和 vpn 这 2 种方案不会被暴力破解,4625 失败登录次数会是 0 。 |
37
laminux29 362 天前
1.经常观察本地 IP 地址段,把地址段的 IP 以 16 位掩码,做成白名单。此举直接灭掉 99% 的扫描、入侵与攻击。
2.安装 wailban ,安全加 0.9%。 3.经常更新补丁 + 安装 360 安全卫士 + 复杂密码,补齐最后的 0.1%,直接无敌。 |
38
lefthand2006 362 天前
我是 surge+ss server vpn 回家
|
39
pluszone 362 天前
RDP 基础上,用上屏幕锁,告诉你密码 你也进不到桌面。有其他招吗?
|
42
l8L12cwti87t9Kwg 361 天前
小公司的网,解析到域名,开了 5 年,目前没发现问题。
如楼上前面人所说, 1. 不要用 administrator 2. 然后密码复杂化 3.可以用组策略里定制下安全策略,比如登录失败 3 次锁定等等 |
43
winson030 361 天前
推荐 tailscale ,很稳!
|
44
1014982466 361 天前
日经贴,你问就是 VPN
但是个人就 TODESK+远程桌面就行了,最新的系统+自己的用户名和密码它破到下辈子也破不开 |
45
sxbxjhwm 360 天前
ssh 隧道解决问题
|
46
starinmars 360 天前
申请一个证书,开启 ssl 。这样也比较安全吧!
|
47
Laoz666 360 天前
直接 tailscale 组网 相当于内网链接
|
48
chenpbh 360 天前
我现在是安装 ssh-server ,然后通过 ssh 打隧道再远程桌面,上次开远程桌面被黑了,怕了
|
49
mm2x 360 天前
我直接使用 IPv6+非标高端口+强密码。我认为还算安全。没发现端口被扫过哈哈。。毕竟电信给了/56 .咋扫呢
|
50
ayase46k 359 天前
腾讯云 frp ,高位端口,32 位随机生成密码,禁用默认账号密码,定期更新安全补丁,最近 7 天被爆破 1.7w 次。已经用了半年,暂时没有被黑过。
|
52
fengyaochen 357 天前 via iPhone
账户名用奇葩一点的名字
|
53
Satansickle 356 天前
不要暴露 ipv4 ,用 v6 地址连接 RDP
|