windows 远程服务安全性，防止爆破

平时没有看 windows 服务器审核日志的习惯，今天一看 2 台自己的 windows vps 一直再被人爆破，vps 以前都改了远程端口了，都禁用了共享端口，用户名也非默认，现在出现被人爆破应该是被人扫描到了端口，然后尝试登录，不知道大佬们都是怎么处理 rdp 安全的，我有几个想法。1 、开放几个非 rdp 端口用来做伪装，如果有人访问这个端口就拉黑 ip，2 、设置一个 linux 服务器 ip 为可以远程的 ip，服务器上安装 frp，通过 frp 的 stcp 方式来远程，这样的话只有 frpc 连接成功后才能远程。

jasonyang9

2020-12-15 21:07:47 +08:00

我能想到的有：port knocking，ssh proxy jump，vpn (wireguard 等）
当然如果 rdp 能够用密钥登录那是最方便的，但。。。

opengps

2020-12-15 21:24:02 +08:00

好像注册表还是组策略的，有个项目，可以设置失败次数限制延迟时间的

opengps

2020-12-15 21:58:39 +08:00

为了避免大家往同一个方向去考虑，我补充下另外一个防护方向：企业一般会选用堡垒机，或者 VPN 安全拨入内网后使用内网访问

x2009again

2020-12-15 22:07:26 +08:00

@opengps 我的思路 2 就是类似堡垒机，通过 frps 服务器来远程，不过这种方式有个问题，好像手机就不能远程上去了，目前 frp 只支持 pc

xmlf

2020-12-15 22:10:44 +08:00

@x2009again 家里路由器不用上干吗？或者服务器上装个 wireguard，手机连上去

billytom

2020-12-15 23:29:02 +08:00

@opengps 像这种 VPN 内网登陆的，机器应该没有公网权限，那 windows 就不用更新系统了？打补丁之类的了？

opengps

2020-12-15 23:39:53 +08:00

@billytom 你忽略了网络访问方向：
别人访问服务器，这是入方向。这是目前运维人员最常用的端口防御策略，比如安全组防火墙等。
服务器访问外部，这是出方向。windows 更新属于这个方向。一般来说，只有特别高级要求的安全策略，才对这个方向进行控制，实现比如木马及时进入也无法对外取得联系的效果。

opengps

2020-12-15 23:41:22 +08:00

@billytom 更通俗的例子：你家里能上网，几乎没有任何限制。但是你在家里电脑上发布个网站，从外部访问进来却比较费劲

billytom

2020-12-16 05:53:14 +08:00

@opengps 谢谢回答，但我不理解的是如果禁掉入站，光开出站流量也不顶用啊，目前我司是 vpn 进内网方式确保安全的，windows 太多漏洞了，害怕

ragnaroks

2020-12-16 08:38:02 +08:00

ipban,我设置的是失败两次（忽略时间）则永久屏蔽，2 年多了没被偷过

如果安全性要求较高，还是得堡垒机靠谱

whitefox027

2020-12-16 09:08:03 +08:00

我是用脚本修改服务器密码，一种是定时修改、另一种是远程连接断开后立即修改。修改之后将新的密码加密存放在数据库，需要远程的时候从数据库读取最新的密文进行解密，然后将我本地的 ip 加入防火墙策略，同时生成 rdp 文件。远程断开之后立即修改密码，修改防火墙策略。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/735788

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.