Windows远程登入设定只允许区网IP,和装了IPBan还是有不明连线登入
前几天NAS中了0xxx勒索病毒,50TB的资料中,不知道为啥只有有快1TB的资料被加密。(如果50TB全加密的话,我就直接重装系统了,目前苟着继续坐种中,找时间处理)
电脑有开RDP,和因为挂PT开了qBit/Transmission的端口,想了一下可能是RDP造成的,但还无法确认源头。
因为其实没有外网RDP远端的需求,所以研究了一下,在防火牆设定只允许某台区网的电脑IP登入,也测试过区网的另外一台电脑确实无法登入。
并加装了IPBan,想说应该万无一失了,但从IPBan的log档还是可以看到有尝试登入失败的纪录,虽然少了很多。
但刚发现竟然有不明IP使用Guest帐号登入成功的,看事件纪录簿也确实有这个不明IP使用Guest帐号登入的纪录
(目前已经先关了Guest帐号... net user guest /active:no )
是哪里没注意到吗,还是防火牆设定错了?
需求只有内网的电脑可以远端到这台NAS就好,不知道还有啥没注意到的?
本帖最后由 xsdianeht 于 2024-1-14 21:50 编辑
有没有可能,Windows自带防火墙,禁止TCP和UDP3389入站,最好samba的也加了 加一个L2TP之类的上去吧,真的。 不要开外网的RDP端口呗,用内网穿透软件比如zerotier或者tailscale/netbird这种。 xsdianeht 发表于 2024-1-14 21:43
有没有可能,Windows自带防火墙,禁止TCP和UDP3389入站,最好samba的也加了
RDP有改端口号,但如果我防火牆这样禁止了,另外一台区网内的电脑连的进去吗,试过了似乎不行 伦风凝星 发表于 2024-1-14 23:17
加一个L2TP之类的上去吧,真的。
嗯,我研究一下,但我其实没外网连入的需求,只要区网可以访问就好 hsj1992 发表于 2024-1-14 23:30
不要开外网的RDP端口呗,用内网穿透软件比如zerotier或者tailscale/netbird这种。
这个可以禁止外网端口访问吗,我目前是防火牆设定只有区网的特定ip可以访问,但似乎没效?
远程桌面管理好用户 不要用administrator用户名 应该问题不大 都是自动扫描的 或者用ipv6
没有外网RDP需求 你关掉路由上的端口映射不就好了吗? 我和你一样,后来学乖了,在也没事了。
1.不要使用administrator这个用户,改个名,比如我就用Administratoradmin
2.不要用弱口令,可以用p@ssw0rd+点啥。这个密码就足够复杂了。
3.不要映射3389端口。可以改一个,比如:222222
4.可以装个英文版系统,或者其他小语种系统。
剩下的就是听天由命
我目前用了快1年了,没啥事。 1、别用什么装机版的第三方系统,因为你无法判断都给你改了啥,有没有弱密码账户。
2、别裸映射3389出去,哪怕你改了3389端口也没啥用,RDP协议摆在那边,一样可以扫的到。
3、密码是绝对要用强密码的,8位数里面有大小写有符号,我相信没人愿意花这个时间去暴破。
4、重要资料一定要备份,有NAS就开快照,没NAS就冷备 本帖最后由 hsj1992 于 2024-1-15 09:31 编辑
ts02147823 发表于 2024-1-15 00:06
这个可以禁止外网端口访问吗,我目前是防火牆设定只有区网的特定ip可以访问,但似乎没效?
...
这个是压根不用你开RDP端口啊,外网RDP端口全关掉,只留软件需要的一些特定端口。软件直接把你设备连到一个虚拟内网里,然后就是“几个本地设备”相互连接了。
我RDP协议端口从4位数换到5位数,什么数字都试过,只要你还对外开放端口,就一定会被人扫被人尝试爆破登录的。
不如路由器不开放外网RDP端口,就用软件“内网”连接RDP等。 先用wg回家,然后再访问服务呗。隧道就是做这个事情的 跟lz类似环境,win nas,原先也是开着外网RDP,看到多起勒索病毒后,除了一些常规安全操作,重点是关了RDP端口,开了路由器L2TP。快一年了,win日志几乎不见了4625,IPBan的log也很干净了。 你看下用户管理有没异常呗,进系统事件里查看详细的记录,有的不是登陆事件。系统什么版本,有保持更新吗,还有内网有没木马中毒的可能。
页:
[1]