弄个远程电源开关,用到时远程开下电源,然后开机,用完关机。这样很少有人破吧。
本帖最后由 farwish 于 2024-1-25 10:30 编辑
只要不是弱口令,被黑和RDP密码半毛钱关系都没,都是系统漏洞
禁用 Administrator,RDP用户名稍微非常规一点点,密码哪怕123,一辈子都不可能是因为是账号密码这个环节出问题的
出问题只可能是系统漏洞
暴露外网的机器不要用什么精简系统,就老老实实用回官方的,保持好自动更新,就能抵御你所遇到99%的问题
0day那种第一时间也轮不到你,等0day那种批量化了,你机器早推送到新补丁了
动脑子想象 都设置10几位随机口令了还中招的,怎么可能是账号密码环节出问题的,都开始玄学了是吧
打开系统更新!打开系统更新!打开系统更新!
kingw12 发表于 2024-1-25 08:44
被黑的原因跟这两点没关系
那你怎么被黑的,路由器有漏洞吗
防火墙做白名单入站出站都用白名单 端口不要3389改为其他的密码复杂度 就够了别老担心这担心那的 做到自己该做的就行了
RDP协议端口公网开放风险太大,不用***或者虚拟内网的话还是算了。
parsec没有ios端,但是moonlight有啊。
别用3389 ,然后用微软在线账户登录远程 就行。 6,7 年了这么玩了,一点事没有。
yan1990_y 发表于 2024-1-25 10:32
那你怎么被黑的,路由器有漏洞吗
是的.[困惑]
可以使用堡垒机
bunnymickey 发表于 2024-1-25 11:27
可以使用堡垒机
堡垒机访问页面公开出来的话,也面临被攻击绕过登陆的可能,参看这几年国家HW行动中各种系统包括EDR被绕过登陆的案例,更安全的方法只有SSL威皮恩+动态密码(包括手机/微信动态密码/扫二微码或者USB key)
目前只有SSL威皮恩通过UDP连接比较安全,open威皮恩可以实现用户+密码+SSL+动态密码二次验证。觉得麻烦就随身携带一个有各种威皮恩客户端的路由器,实现网到网的安全传输,只要在这个路由器下就可以安全而简单访问对端的网络资源
rdp端口不敢露外网了,目前用tp路由器做了L2TP,但问题是路由器有足够的安全吗?
另外一种办法是用虚拟机openwrt旁路由,部署个wireguard访问内网,是不是比tp路由器更安全一点呢?
路由器ROS,设置了防火墙策略,把尝试连接常用端口22、3389等的ip全部ban了,再设置rdp高位端口,安全得很
我目前的做法是使用安恒堡垒机,堡垒机是支持账号密码+mfa二次认证的,对外映射的也是堡垒机的端口。
学校即使使用动态IP,但是大概率是只变换后两段的,也就是说对外的公网IP地址xxx.yyy.*里面xxx.yyy基本是固定不变的。那可以在防火墙里面设置一个允许访问的IP地址范围xxx.yyy.0.0~xxx.yyy.255.255
这个办法可以基本上限定只允许你所在的区域电脑访问远程桌面,安全性就大多了。
我自己的一个VPS服务器,没有设置防火墙之前,一天就有上万次的telnet登录失败尝试,按这个规则设置了防火墙之后,几个月也没一次记录了[偷笑]
l0stc0mpass 发表于 2024-1-25 09:51
3389是系统级别的远程访问,说搞个手机号做双因素认证什么的还是洗洗睡吧。你装系统激活的时候还必须要用手 ...
我说的双重认证不是指手机号认证
是类似Google Authenticator的那种的动态密码双重验证
端口3389当然是内网端口3389,NAT到公网自然换端口(不过扫一下照样能被发现)
BH1PXK 发表于 2024-1-25 10:03
学校的ipv6都是固定分配的吧 。直接IP地址访问就好了。别折腾什么ddns。 内网安全的很。 ...
哈哈,寝室和研究院当然不在一个内网里
我们寝室只有公网ipv4,没v6,所以比较担心安全
Garming 发表于 2024-1-25 19:07
哈哈,寝室和研究院当然不在一个内网里
我们寝室只有公网ipv4,没v6,所以比较担心安全 ...
你这种就很难了。。 找个云服务器做中转吧,还是得弄虚拟局域网之类的 。套一层壳,公网开发端口 风险太高了。 高校的ip 比普通ip更容易受到攻击。 高价值目标。 哈哈哈。
farwish 发表于 2024-1-25 10:20
只要不是弱口令,被黑和RDP密码半毛钱关系都没,都是系统漏洞
禁用 Administrator,RDP用户名稍微非常规一 ...
论坛里的人都魔怔了
弄了个vps,开3389五六年,毛事没有。
本帖最后由 ukey512 于 2024-1-25 21:01 编辑
1、映射端口不要用3389,用一个五位的端口;
2、管理员账号不要用ad,这个账号完全禁用,用自定义的账号作为管理员;
3、采用复杂密码。
4、在网上与人为善,不要怼人[偷笑]
外面套一个rustdesk 开tcp隧道,里面在用rdp远程
我是用zerotier搭了虚拟内网,在这个内网里面用RDP
3389的端口换一个吧,反正我防火墙是扫到这个端口开了就报警,换个端口就不报
微软系统自带的IPSEC不知道行不行,就是两台机器要建立通讯之前,ipsec协商不通过,服务器不给通讯
但是我估计99%以上是不行的,IPSEC很大可能过不了NAT
本帖最后由 yugu91 于 2024-1-26 10:16 编辑
windows不知道能不能用ssh连接,我软路由就是这样,关闭3389端口外网访问,开22端口,用ssh开隧道做端口映射,将本地端口映射到3389,连接相当于"127.0.0.1:本地端口"
然后ssh用金钥登陆,关帐户名密码登陆
这样只需要在使用的时候运行一下ssh隧道的命令即可,也没有打开3389的端口
ssh -NL 本机端口:windosip:3389 xxx@sshserver
这种方式无需安装任何软件
还有一种方式可以实现2fa,安装使用cloud flared trust zero
每次登陆rdp会先进行验证,至少ssh和vnc我实现了,rdp我未测试过,验证可以是GITHUB帐户、邮箱获取验证码、等
改高位端口、改复杂密码、及时打补丁、加上ssl,均不够可靠,
rdp这个协议有漏洞,
简单的攻击是用工具扫描、攻击,
再复杂一点的攻击是利用未修复的漏洞,跳过以上说的,进行攻击。
如各位技术大佬有更好的思路、方案,期待指导一下。
我是自建frps+自建rustdesk来解决。而且被控端都没公网,甚至一些都没外网。
1. 服务端,RDP Server上同时开启SSH Server
2. 客户端,SSH登录建立隧道,RDP通过本地SSH隧道连接服务端
SSH上做好高位端口、密钥认证、fail2ban、MFA,应该比较安全了。较新的Windows上SSH都是自带了,也不需要额外的第三方软件。
michael80 发表于 2024-1-26 10:37
改高位端口、改复杂密码、及时打补丁、加上ssl,均不够可靠,
rdp这个协议有漏洞,
漏洞张嘴就来是吧
禁用ADMIN、改端口+强密码,设置白名单访问。
本帖最后由 wolfpan 于 2024-1-27 20:44 编辑
RDP放在公网上,如果不限制IP地址访问的话,最容易受到猜密码暴力破解的攻击。改端口没有任何用处,攻击都是应用层识别。如果你看日志,那是相当的暴力。administrator,admin,root等常用管理员账号都是被猜密码攻击的范围。
因此设置一个账户锁定策略是非常必要的。就是输错几次密码之后,账户被锁定,无法登录,别人也就没法有效猜测。
但是这个也会有一个缺点,就是比如你自己的用户名是admin,然后被别人攻击了,那么会导致自己账户被锁10分钟,导致自己没法登陆。因为这个攻击是持续的,你刚解锁之后,没1,2分钟,马上又被锁定。我公司有个web服务器,上面有的用户,就被别人盯住了,账号一直锁死,刚解开就锁死导致没法用系统。公司也没钱搞one time password 2次验证什么的,就用了个非常丑陋的验证码,基本没用。除非有什么devops的方法,能实时监控日志,登录几次失败的IP地址,自动加到防火墙内屏蔽。