windows 远程桌面， rdp 通过端口映射开放到公网访问，有什么好的安全措施吗

rdp

映射

端口

VPN

54 条回复 • 2023-12-06 15:34:01 +08:00

1

Quarter

353 天前 via Android

额，组网或者套一个 VPN

2

maybeonly

353 天前

不是弱密码并且补丁都打了的情况下，问题不大。

3

datocp

353 天前 via Android

当然还是 vpn 其它的叫 knock iptables ，没用过。

4

cjpjxjx

352 天前 via iPhone

2

在 V2 ，问就是让你上 VPN

5

srlp

352 天前 via iPhone

tailscale 或者 zerotier

6

PrinceofInj

352 天前

1

我的一直开着，补丁打全，密码别用简单的，开了有一年了，没啥问题。检查日志，偶尔会收到一些爆破的，但是用的都是些常用账号尝试的，我直接用的微软账号，普通账号压根没开，谅爆破者到地老天荒都进不来。

7

alexwu

352 天前

改端口，经常更新系统

8

beyondstars

352 天前

不使用 RDP 默认端口，不把 RDP 的端口映射到公网上，把 ssh 的端口映射到公网上，需要连接的时候用 ssh -L 转发。

9

iomect

352 天前

4

我的主力机装了 eset nod32 防火墙会自动挡住
其他的各 win 虚拟机上面装一个软件 rdp defender 爆破 ip 会被自动黑名单
实际效果这样子

10

iamobj

352 天前

1

我是做了个微信机器人，然后通过发送指令控制是否开启端口映射，要远程了我就发指令开启，远程完就关闭，这样最稳妥，减少暴露公网的时间

11

ranaanna

352 天前

@iomect 好丑的用户界面。另外 windows defender firewall 挡不住吗，还需要这些（过时、收钱、无效、冗余）的软件来挡？

12

jarryson

352 天前

还有个后台服务软件叫 ipban ，能提供一样的功能，我现在在用。

改端口，禁用 NLA ，NTLM ，应该会好一点。目前没发现有人尝试。之前开了 ssh 端口，也改了端口，才开了两天都被植挖矿病毒

13

Archeb

352 天前

密码加强，系统版本及时更新，使用最新加密方法。

全世界用公网 RDP 的多了，奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全，一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。

实在不放心，RDP 也支持双向证书认证，这个足够安全了吧。

14

Damn

352 天前 via iPhone

我高位端口弱密码跑了多年了也没中过招。。

15

allpass2023

352 天前

除了当年的 WIN2000/XP 可以用空密码远程，之后好像都没有听说过出问题。

非重点目标的话，用非标端口+非默认用户+复杂密码应该够安全了。

16

Tumblr

352 天前

高位端口+强密码+动态 IP ，相当于 100%安全，几乎可以认为不可入侵。

17

chunson

352 天前 via Android

我之前用过内网穿透+端口转发，还是弱口令，直接中勒索病毒，还好没什么重要文件。血的教训

18

clorischan

352 天前

远程桌面网关

19

datou

352 天前

@iomect 一眼就看到几个腾讯云的 IP

20

jim9606

352 天前

主要是不像 ssh 可以用双向公钥认证，RDP 好像并不能设置这个，只能用 TLS 单向认证+Windows 内置的账户密码认证，又没有什么防爆破措施，个人不太信任双向公钥以外的认证方法。

21

xixiv5

352 天前

@iomect 我进官网没看到这个软件的下载地址，你方便发一下吗？

22

icaolei

352 天前

公网 IPv6 ，3389 端口一直开着的。不过一般是关机状态，远程需要用的时候会先 WOL 唤醒下再连。

23

Chad0000

352 天前 via iPhone

改默认端口就能解决 99%的攻击问题。我改后好多年了都没有再被爆破过。

24

ltkun

352 天前 via Android

为啥要暴露公网 wireguard 不行吗

25

opengps

352 天前

第一强密码
第二改成非默认端口
很多服务器甚至都只完成第一步，所以这两部加起来已经可以避免绝大多数有效攻击了

26

zggsong

352 天前

堡垒机，nextterminal

27

Archeb

352 天前

@jim9606 RDP 支持智能卡认证，相当于要求本地物理密钥，更安全。不过配置似乎非常麻烦

28

smallfount

352 天前

非标端口复杂密码关默认用户名。。可以的话把 ping 也关了。。

29

mortal

352 天前

IPv6 only + DDNSv6 + 非默认端口 + 最新版本 RDP ，没有被爆过。
为什么不用 VPN ？是觉得会影响其他网络，还是嫌麻烦？
前者还可以使用 SS + RDP over socks5 解决，后者有一些 RDP 软件可以自动在连接之前拨号 VPN 。

30

Rache1

352 天前

Duo security 可以加二次验证。

31

deorth

352 天前 via Android

just dont

32

iomect

352 天前

@xixiv5 #21 使用 Google 搜索 rdp defender 2.4 就有下载地址

33

asdgsdg98

352 天前

防火墙 default deny

34

loopinfor

352 天前 via Android

要注意有时你以为只有微软账号能登陆，实际上本地缩写用户名也是可以登录的

35

565656

352 天前

装个火绒就行了 3306 改成 6666

36

photon006

352 天前

2

我中过勒索病毒，我有发言权[doge]

1 、首先 rdp 需要帐号密码一起登录，帐号别用 Administrator ，用这个相当于破解成功了一半，用自定义名称加大难度。

2 、抵御暴力破解，linux 下有个工具叫 fail2ban 可以很方便防御暴力破解，windows 也有类似的： https://github.com/DigitalRuby/IPBan ，但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽，如果是内网穿透暴露到公网则无效，所以 IPBan 只能用在公网 ip 端口转发场景下（既然都端口转发了顺便把入站端口改成高位端口，别用默认 3389 ），而内网穿透可以做到更安全，比如 frp 的 tcp 模式是穿透到互联网完全暴露，stcp 模式只穿透到公网上的某个局域网，安全很多很多。

比较这 3 种方案，frp + tcp 安全性最差，公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解，frp + stcp 不会，在需要访问的本机启动 visitor 客户端，则只有自己能访问远程 rdp ，安全性很接近 vpn ，不管本机是 linux 还是 windows 都可以设置 visitor 开机自启，用起来很方便，linux 用 docker ，windows 用 winsw 写入服务。

3 、验证效果，打开 windows 事件查看器，搜索 4625 可以看到被暴力破解次数，过去 7 天 32897 次：

4 、最安全还是 vpn ，暴露的攻击面小很多，比如 wireguard 只暴露一个 udp 端口，即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ，不过传输带宽依赖于 vps ，实测 1M 也可以 rdp 。

我发现也有弊端，vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈，这是我所不希望的。

总结起来，frp + stcp 和 vpn 这 2 种方案不会被暴力破解，4625 失败登录次数会是 0 。