经常检测到暴力破解远程桌面的记录,只通过密码来保护远程桌面登录有点慌啊。
检测到远程桌面暴力破解,攻击者:143.92.*
检测到远程桌面暴力破解,攻击者:1.255.*
那么 Win10 有没有低成本实现微软账号远程桌面登录二次认证的方案?
我查过 google ,目前相关的方案是 https://xz.aliyun.com/t/5343 ,通过 Duo Security 来实现本地账号登录,但是不支持微软账号,那么还有别的办法吗?
1
jasonchn 2022-01-04 11:59:14 +08:00 via Android
都能公网开放 UDP 3389 了 为啥不把桌面放到 OPEN VPN 后边,OPENVPN 基于证书认证 啥攻击都没辙
|
3
steptodream 2022-01-04 12:08:30 +08:00
@jasonchn openvpn 在国内大环境下用会不会被河蟹啊,我上半年回国在国内用 openvpn 出境,就一个人用,用了一个多月服务器就被河蟹了。
|
4
yaoyao1128 2022-01-04 12:27:35 +08:00 via iPhone
用过 miniorange 但是不知道现在能不能支持微软账户了……
|
5
yaoyao1128 2022-01-04 12:36:11 +08:00 via iPhone
以及 不打开 administrator 的远程登录 改一下端口 禁止管理员登陆 rdp (只允许普通权限账户登陆 用 uac 控制)可能就不太容易爆破了
|
7
DTCPSS 2022-01-04 13:15:34 +08:00
我把 RDP 放在 SSH 后面,然后转发 3389 端口
|
9
cweijan 2022-01-04 13:41:04 +08:00
试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网.
|
10
luzhh 2022-01-04 13:48:28 +08:00
问一下,是通过什么方式检测到的。
|
11
yzc27 2022-01-04 13:54:07 +08:00
我司是把 RDP 放在 Cisco anyconnect 后面,连 Cisco anyconnect 时就有二次认证,所以登 RDP 就直接用账户密码,没额外再来一次二次认证了。
|
12
LANB0 2022-01-04 13:57:20 +08:00
贝锐家的蒲公英可以满足,就是楼上说的异地组网,打洞成功很给力
|
13
forgottencoast 2022-01-04 15:11:24 +08:00
看到楼上有人讨论证书,Win10 的远程登陆不也是通过证书的吗?
所以应该可以从证书方面入手吧? |
14
yaoyao1128 2022-01-04 15:15:26 +08:00 via iPhone
@forgottencoast 证书可以 不过前提上 ad
|
16
ysc3839 2022-01-04 16:34:19 +08:00
@forgottencoast rdp 还是使用用户名密码认证的,虽然 rdp 传输会用 TLS 加密,但是只是服务器有个证书,类似 ssh 的 server key ,服务器不会验证客户端的证书。
|
17
internelp 2022-01-04 16:40:10 +08:00
@steptodream 国内到国内,一般不会
|
19
Rache1 2022-01-04 17:19:03 +08:00
@jwwang 之前也是看这个教程配置的,但是我用着好像没啥问题哇,就即使使用微软账号,他还是会弹那个框,我取消了用微软账号登入,它还是会回到那个二次验证的框框
|
20
remxme 2022-01-04 17:23:57 +08:00
防火墙加上 ip 限制
|
21
lonewolfakela 2022-01-04 19:10:03 +08:00
实话说搞这么多麻烦事不如把密码改成一个特长随机字符串……
|
22
geekyouth OP ```
> 试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网. ``` @cweijan 本质就是架设 vpn 环境吗?这样会不会导致宽带速率变慢呢,我想在公网上传输数据,网速很快。 |
25
FullBridgeRect 2022-01-04 22:05:19 +08:00
@steptodream 国内运营商只见过管大流量和 http 服务器,其他都没见过管
|
26
emberzhang 2022-01-04 23:32:54 +08:00
@steptodream 跨境当然不行,侦测协议毫无难度。至于境内到境内的连接怎么可能有闲工夫管你,我用了十年啥事没有。
|
27
crab 2022-01-04 23:53:33 +08:00
别用默认的 3389 端口就能避免不少了,ipsec 上只允许你的 IP 段请求 3389 。
|
28
PatrickLe 2022-01-05 00:58:14 +08:00
我觉得没必要折腾换端口、vpn 什么的,浪费时间
我的就是默认端口 3389 ,开启了转发,用的 Administer 账户,但是我的密码是 1p 生成的 50 位超复杂随机密码,用了大半年了,每天 24 小时被扫,也没出问题 密码复杂程度差不多就是这样:fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E 等到爆破估计得天荒地老吧😂 |
29
Showfom 2022-01-05 01:08:40 +08:00 1
|
30
happy61 2022-01-05 01:18:09 +08:00
之前有看过 windows Hello 企业版,但是配置极为复杂。。所以就没研究下去,我也想知道,为自己的 RDP 服务,多一层保障
|
31
happy61 2022-01-05 01:24:02 +08:00
|
32
zyqv2 2022-01-05 08:44:08 +08:00 via Android
复杂密码+安全组设置密码错误多少次不让重试,或者 Windows 关闭远程 3389 ,开启 openssh server ,只允许秘钥登录,ssh 通道 rdp ,再就是 wireguard 咯
|