RDP远程控制如何保证安全？

Garming

本人ios用户，所以用不了parsec，更不想用dodesk向日葵这些，貌似就剩微软自带的rdp了
目前我是在用DDNS实现公网直连，目前只加了ssl证书
问题在于只需要域名（IP地址）+端口、账户、密码就能在任何地方登陆，安全性较低
我需要在学校工位/实验室的电脑远程控制寝室里的电脑

我目前不太倾向于要使用虚拟专用网络的方案（例如wireguard）
设置白名单也不太现实，ip一直在变
我更倾向于2FA这种动态密码，但是貌似rdp原生并不支持？
RDP远程控制如何保证安全呢？谢谢各位大神~

PS.
我说的双重认证当然不手机号认证，是类似‎Google Authenticator的那种离线也可用的动态密码双重验证
端口3389当然是内网端口3389，NAT到公网自然换端口（不过扫一下照样能被发现），
我们寝室只有公网IPv4，没v6。所以哪怕我已经把admin账号禁用了我还是比较担心安全

猪圈

传统就是**以后再RDP，

Garming

猪圈 发表于 2024-1-24 21:26
传统就是**以后再RDP，

问题是我得用学校公用电脑访问自己电脑，
虚拟专用网络就不是特别的方便

xy.

看错了编辑

hc313

除非有特别特别的机密，一般使用用户名+密码足够安全了，另外端口记得一定不要用3389.

Cloris

RD 网关
https://forsenergy.com/zh-cn/ts_ ... 76-db5e9fb3fcc4.htm

yyu0378

微软官方的解决方案是远程桌面网关，不过这个要求很高，且配置比较麻烦，用其他工具组成虚拟网更简单。

lostgid

虚拟专用网络挺好。
我是RouterOS，配了L2TP。

hzsohu

感觉微软就和以前腾讯一样的，明明可以两步验证、手机验证的，不给你搞。反正不交钱QQ密码就是会丢。
我是这样弄的，禁用admi账户密码，强密码，换端口，爱快里面端口转发的地址，设成只能远程地址访问，再打算把acl配置下，即用即开，用完手机上把要访问的电脑禁止联网。
不会搞，不知道这样行不行

BetaHT

最简单的，设个端口转发，让路由器允许远程登陆。每次用rdp前把rdp的端口转发打开。不用了关上。

如果你家用电信，我这电信网关APP有软网闸功能，可以手机上开关特定端口，就更方便一些。

YsHaNg

ssh比rdp安全性高点 Windows是可以纯pwsh远程操作的

zsecsqawdx

另类的2个方案，被控端用routeros的话
1，“端口敲门”，比方说先ping routeros，防火墙规则自动动态抓取ping的来源地址填到RDP的端口映射规则的允许的来源地址。因为是动态的可以设置停ping后多少时间防火墙的源地址失效。至于敲门的端口协议，设几层敲门，自己发挥。
2，RDP前手机先虚拟专用网络到Routeros，对应的profiles-scripts设置On up/On down控制端口映射规则启用和关闭。

k8qxt5

要什么rdp，高校ipv6的网络都是完整的吧，那就ipv6+moonlight+sunshine+usbmmidd_v2

summerbee

不错，最近刚用RDP，帖子又学到点安全知识～

miantiaojia

我只是禁用了ADMIN 然后IPV6的 DDNS   一般扫描都是IPV4 加固定密码 问题也不大  家用数据也没啥关键的

Lentrody

定期更新强密码，保证所使用的终端设备安全性

c2h6o

不知道你坚持这也不想用，那也不想用的原因是什么，要安全就只有更加繁琐的认证过程。目前看RDP的安全性是所有其他方法里面（包括组合）最低的，也就适合局域网内用用。

kingw12

BetaHT 发表于 2024-1-24 22:22
最简单的，设个端口转发，让路由器允许远程登陆。每次用rdp前把rdp的端口转发打开。不用了关上。

如果你家 ...

然后路由器就被黑了,比如我就是这样

BetaHT

kingw12 发表于 2024-1-25 08:35
然后路由器就被黑了,比如我就是这样

改端口，复杂密码

ghwwx

我就在家里的openwrt路由器上用soft-ether建了一个L2TP的服务器。 笔记本上用系统内置的L2TP客户端。 然后到哪里都可以直接链接家里的网络，其他就像访问局域网一样了。

kingw12

BetaHT 发表于 2024-1-25 08:39
改端口，复杂密码

被黑的原因跟这两点没关系

J.9h0st

我用的吾爱论坛的马后炮策略，先是改rdp的端口号，然后监控该端口，记录连入该端口的ip，如果ip不是白名单里的ip就给我的邮箱发邮件，我就能通过防火墙把这些ip拉黑。属于马后炮行为了，看大神解析，其实还有种更好的思路，但是我没有实现：
改被控端的端口其实没用，一扫就出来了，最有效的方式是强制要求主控端的接入端口号，即主控端只能通过该端口号远控被控端，应该属于防火墙策略之一吧，我暂时没有研究。

谎言之神Cyric

todesk有什么问题吗

extrame

3389开在公网上非常容易挂.
最好还是用ZeroTier挂个虚拟局域网再通过3389共享.

imyz

我就很好奇，我也是家里动态 IP + DDNS，路由器 NAT 开 3389 RDP，Win7/10/11 一路下来直用了N年了，虽然是一直有暴破攻击，但也没事过来了。所以并没有想像中那么不安全。

我一般是禁用 Administrator，给 RDP 用户 User 权限，然后用户名和密码设置成相对复杂的，再配合防火墙+杀毒

BrainBUGs

rustdesk怎么样

l0stc0mpass

3389是系统级别的远程访问，说搞个手机号做双因素认证什么的还是洗洗睡吧。你装系统激活的时候还必须要用手机号吗？3389面临的问题根本就不是授权和认证的问题啊，典型的你比微软还会做系统。根本的原因是Windows 系统树大招风N多人在研究它，可能有一大堆的0day，只不过没人用在你身上而已。但是说不准有个已经开放的漏洞你又没有及时打补丁别人也正好碰到你就直接拿下了。所以从网络层限制匿名用户访问才是控制风险的首选方式。

PS：还有很多人说什么更新烦，出各种方式让别人关自动更新的，这种人不是蠢就是坏。请这类随意教唆别人关自动更新的人多动动脑子。

BetaHT

kingw12 发表于 2024-1-25 08:44
被黑的原因跟这两点没关系

所以我更推荐的是软网闸的方法

BH1PXK

学校的ipv6都是固定分配的吧 。直接IP地址访问就好了。别折腾什么ddns。 内网安全的很。