RDP远程控制如何保证安全？

ITNewTyper

弄个远程电源开关，用到时远程开下电源，然后开机，用完关机。这样很少有人破吧。

farwish

只要不是弱口令，被黑和RDP密码半毛钱关系都没，都是系统漏洞

禁用 Administrator，RDP用户名稍微非常规一点点，密码哪怕123，一辈子都不可能是因为是账号密码这个环节出问题的
出问题只可能是系统漏洞
暴露外网的机器不要用什么精简系统，就老老实实用回官方的，保持好自动更新，就能抵御你所遇到99%的问题
0day那种第一时间也轮不到你，等0day那种批量化了，你机器早推送到新补丁了


动脑子想象 都设置10几位随机口令了还中招的，怎么可能是账号密码环节出问题的，都开始玄学了是吧


打开系统更新！打开系统更新！打开系统更新！

yan1990_y

kingw12 发表于 2024-1-25 08:44
被黑的原因跟这两点没关系

那你怎么被黑的，路由器有漏洞吗

chainofhonor

防火墙做白名单  入站出站都用白名单 端口不要3389改为其他的  密码复杂度   就够了  别老担心这担心那的 做到自己该做的就行了

hsj1992

RDP协议端口公网开放风险太大，不用***或者虚拟内网的话还是算了。
parsec没有ios端，但是moonlight有啊。

presolo

别用3389 ，然后用微软在线账户登录远程 就行。 6，7 年了这么玩了，一点事没有。

kingw12

yan1990_y 发表于 2024-1-25 10:32
那你怎么被黑的，路由器有漏洞吗

是的.

bunnymickey

可以使用堡垒机

nn1122

bunnymickey 发表于 2024-1-25 11:27
可以使用堡垒机

堡垒机访问页面公开出来的话，也面临被攻击绕过登陆的可能，参看这几年国家HW行动中各种系统包括EDR被绕过登陆的案例，更安全的方法只有SSL威皮恩+动态密码（包括手机/微信动态密码/扫二微码或者USB key）

nn1122

目前只有SSL威皮恩通过UDP连接比较安全，open威皮恩可以实现用户+密码+SSL+动态密码二次验证。觉得麻烦就随身携带一个有各种威皮恩客户端的路由器，实现网到网的安全传输，只要在这个路由器下就可以安全而简单访问对端的网络资源

zhgna

rdp端口不敢露外网了，目前用tp路由器做了L2TP，但问题是路由器有足够的安全吗？
另外一种办法是用虚拟机openwrt旁路由，部署个wireguard访问内网，是不是比tp路由器更安全一点呢？

年轻的樵夫

路由器ROS，设置了防火墙策略，把尝试连接常用端口22、3389等的ip全部ban了，再设置rdp高位端口，安全得很

q20has

我目前的做法是使用安恒堡垒机，堡垒机是支持账号密码+mfa二次认证的，对外映射的也是堡垒机的端口。

深圳老胡

学校即使使用动态IP，但是大概率是只变换后两段的，也就是说对外的公网IP地址xxx.yyy.*里面xxx.yyy基本是固定不变的。那可以在防火墙里面设置一个允许访问的IP地址范围xxx.yyy.0.0~xxx.yyy.255.255

这个办法可以基本上限定只允许你所在的区域电脑访问远程桌面，安全性就大多了。

我自己的一个VPS服务器，没有设置防火墙之前，一天就有上万次的telnet登录失败尝试，按这个规则设置了防火墙之后，几个月也没一次记录了

Garming

l0stc0mpass 发表于 2024-1-25 09:51
3389是系统级别的远程访问，说搞个手机号做双因素认证什么的还是洗洗睡吧。你装系统激活的时候还必须要用手 ...

我说的双重认证不是指手机号认证
是类似‎Google Authenticator的那种的动态密码双重验证
端口3389当然是内网端口3389，NAT到公网自然换端口（不过扫一下照样能被发现）

Garming

BH1PXK 发表于 2024-1-25 10:03
学校的ipv6都是固定分配的吧 。直接IP地址访问就好了。别折腾什么ddns。 内网安全的很。 ...

哈哈，寝室和研究院当然不在一个内网里
我们寝室只有公网ipv4，没v6，所以比较担心安全

BH1PXK

Garming 发表于 2024-1-25 19:07
哈哈，寝室和研究院当然不在一个内网里
我们寝室只有公网ipv4，没v6，所以比较担心安全 ...

你这种就很难了。。 找个云服务器做中转吧，还是得弄虚拟局域网之类的 。套一层壳，公网开发端口 风险太高了。   高校的ip 比普通ip更容易受到攻击。 高价值目标。 哈哈哈。

dirwdirw

farwish 发表于 2024-1-25 10:20
只要不是弱口令，被黑和RDP密码半毛钱关系都没，都是系统漏洞

禁用 Administrator，RDP用户名稍微非常规一 ...

论坛里的人都魔怔了
弄了个vps，开3389五六年，毛事没有。

ukey512

1、映射端口不要用3389，用一个五位的端口；
2、管理员账号不要用ad，这个账号完全禁用，用自定义的账号作为管理员；
3、采用复杂密码。
4、在网上与人为善，不要怼人

mudi69

外面套一个rustdesk 开tcp隧道，里面在用rdp远程

zhjseaboy

我是用zerotier搭了虚拟内网，在这个内网里面用RDP

wowking

3389的端口换一个吧，反正我防火墙是扫到这个端口开了就报警，换个端口就不报

wolfpan

微软系统自带的IPSEC不知道行不行，就是两台机器要建立通讯之前，ipsec协商不通过，服务器不给通讯
但是我估计99%以上是不行的，IPSEC很大可能过不了NAT

yugu91

windows不知道能不能用ssh连接，我软路由就是这样，关闭3389端口外网访问，开22端口，用ssh开隧道做端口映射，将本地端口映射到3389，连接相当于"127.0.0.1:本地端口"

然后ssh用金钥登陆，关帐户名密码登陆

这样只需要在使用的时候运行一下ssh隧道的命令即可，也没有打开3389的端口

ssh -NL 本机端口:windosip:3389 xxx@sshserver

这种方式无需安装任何软件
还有一种方式可以实现2fa，安装使用cloud flared trust zero
每次登陆rdp会先进行验证，至少ssh和vnc我实现了，rdp我未测试过，验证可以是GITHUB帐户、邮箱获取验证码、等

michael80

改高位端口、改复杂密码、及时打补丁、加上ssl，均不够可靠，

rdp这个协议有漏洞，

简单的攻击是用工具扫描、攻击，

再复杂一点的攻击是利用未修复的漏洞，跳过以上说的，进行攻击。

如各位技术大佬有更好的思路、方案，期待指导一下。

lovest

我是自建frps+自建rustdesk来解决。而且被控端都没公网，甚至一些都没外网。

ivused

1. 服务端，RDP Server上同时开启SSH Server
2. 客户端，SSH登录建立隧道，RDP通过本地SSH隧道连接服务端

SSH上做好高位端口、密钥认证、fail2ban、MFA，应该比较安全了。较新的Windows上SSH都是自带了，也不需要额外的第三方软件。

Lentrody

michael80 发表于 2024-1-26 10:37
改高位端口、改复杂密码、及时打补丁、加上ssl，均不够可靠，

rdp这个协议有漏洞，

漏洞张嘴就来是吧

siyurock

禁用ADMIN、改端口+强密码，设置白名单访问。

wolfpan

RDP放在公网上，如果不限制IP地址访问的话，最容易受到猜密码暴力破解的攻击。改端口没有任何用处，攻击都是应用层识别。如果你看日志，那是相当的暴力。administrator，admin，root等常用管理员账号都是被猜密码攻击的范围。

因此设置一个账户锁定策略是非常必要的。就是输错几次密码之后，账户被锁定，无法登录，别人也就没法有效猜测。

但是这个也会有一个缺点，就是比如你自己的用户名是admin，然后被别人攻击了，那么会导致自己账户被锁10分钟，导致自己没法登陆。因为这个攻击是持续的，你刚解锁之后，没1，2分钟，马上又被锁定。我公司有个web服务器，上面有的用户，就被别人盯住了，账号一直锁死，刚解开就锁死导致没法用系统。公司也没钱搞one time password 2次验证什么的，就用了个非常丑陋的验证码，基本没用。除非有什么devops的方法，能实时监控日志，登录几次失败的IP地址，自动加到防火墙内屏蔽。