Windows远程登入设定只允许区网IP，和装了IPBan还是有不明连线登入

ts02147823

前几天NAS中了0xxx勒索病毒，50TB的资料中，不知道为啥只有有快1TB的资料被加密。

(如果50TB全加密的话，我就直接重装系统了，目前苟着继续坐种中，找时间处理)

电脑有开RDP，和因为挂PT开了qBit/Transmission的端口，想了一下可能是RDP造成的，但还无法确认源头。

因为其实没有外网RDP远端的需求，所以研究了一下，在防火牆设定只允许某台区网的电脑IP登入，也测试过区网的另外一台电脑确实无法登入。

并加装了IPBan，想说应该万无一失了，但从IPBan的log档还是可以看到有尝试登入失败的纪录，虽然少了很多。

但刚发现竟然有不明IP使用Guest帐号登入成功的，看事件纪录簿也确实有这个不明IP使用Guest帐号登入的纪录

(目前已经先关了Guest帐号... net user guest /active:no )

是哪里没注意到吗，还是防火牆设定错了?

需求只有内网的电脑可以远端到这台NAS就好，不知道还有啥没注意到的?

xsdianeht

有没有可能，Windows自带防火墙，禁止TCP和UDP3389入站，最好samba的也加了

伦风凝星

加一个L2TP之类的上去吧，真的。

hsj1992

不要开外网的RDP端口呗，用内网穿透软件比如zerotier或者tailscale/netbird这种。

ts02147823

xsdianeht 发表于 2024-1-14 21:43
有没有可能，Windows自带防火墙，禁止TCP和UDP3389入站，最好samba的也加了

RDP有改端口号，但如果我防火牆这样禁止了，另外一台区网内的电脑连的进去吗，试过了似乎不行

ts02147823

伦风凝星 发表于 2024-1-14 23:17
加一个L2TP之类的上去吧，真的。

嗯，我研究一下，但我其实没外网连入的需求，只要区网可以访问就好

ts02147823

hsj1992 发表于 2024-1-14 23:30
不要开外网的RDP端口呗，用内网穿透软件比如zerotier或者tailscale/netbird这种。

这个可以禁止外网端口访问吗，我目前是防火牆设定只有区网的特定ip可以访问，但似乎没效？

miantiaojia

远程桌面管理好用户 不要用administrator用户名 应该问题不大 都是自动扫描的 或者用ipv6

nodlinxinyang

没有外网RDP需求 你关掉路由上的端口映射不就好了吗？

qingzhu110

我和你一样，后来学乖了，在也没事了。
1.不要使用administrator这个用户，改个名，比如我就用Administratoradmin
2.不要用弱口令，可以用p@ssw0rd+点啥。这个密码就足够复杂了。
3.不要映射3389端口。可以改一个，比如：222222
4.可以装个英文版系统，或者其他小语种系统。
剩下的就是听天由命
我目前用了快1年了，没啥事。

7155071

1、别用什么装机版的第三方系统，因为你无法判断都给你改了啥，有没有弱密码账户。
2、别裸映射3389出去，哪怕你改了3389端口也没啥用，RDP协议摆在那边，一样可以扫的到。
3、密码是绝对要用强密码的，8位数里面有大小写有符号，我相信没人愿意花这个时间去暴破。
4、重要资料一定要备份，有NAS就开快照，没NAS就冷备

hsj1992

ts02147823 发表于 2024-1-15 00:06
这个可以禁止外网端口访问吗，我目前是防火牆设定只有区网的特定ip可以访问，但似乎没效？

...

这个是压根不用你开RDP端口啊，外网RDP端口全关掉，只留软件需要的一些特定端口。软件直接把你设备连到一个虚拟内网里，然后就是“几个本地设备”相互连接了。
我RDP协议端口从4位数换到5位数，什么数字都试过，只要你还对外开放端口，就一定会被人扫被人尝试爆破登录的。
不如路由器不开放外网RDP端口，就用软件“内网”连接RDP等。

sevastian

先用wg回家，然后再访问服务呗。隧道就是做这个事情的

zhgna

跟lz类似环境，win nas，原先也是开着外网RDP，看到多起勒索病毒后，除了一些常规安全操作，重点是关了RDP端口，开了路由器L2TP。快一年了，win日志几乎不见了4625，IPBan的log也很干净了。

hayse

你看下用户管理有没异常呗，进系统事件里查看详细的记录，有的不是登陆事件。系统什么版本，有保持更新吗，还有内网有没木马中毒的可能。