V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Osk
V2EX  ›  Windows

Windows Remote Desktop 有没有安全方面的建议?

  •  
  •   Osk · 2020-06-20 19:10:01 +08:00 · 3014 次点击
    这是一个创建于 1616 天前的主题,其中的信息可能已经有所发展或是发生改变。

    rdp 单机环境真的不好用,安全方面的文档也不像 ssh 那样丰富,比如 ssh 有一堆文档、博客解释证书的作用与验证,sshd 的配置建议,mitm 等常见攻击的防御,rdp:太少了,要么就太专业了看不懂。

    但又不得不用, 总不能在 rdp 下套一层 ssh tunnel 吧。。。

    前提: 没有 ad 域。

    15 条回复    2020-06-21 13:46:20 +08:00
    Legman
        1
    Legman  
       2020-06-20 19:15:42 +08:00 via Android
    该端口?白名单?
    Keyes
        2
    Keyes  
       2020-06-20 19:15:49 +08:00 via iPhone   ❤️ 1
    还真有,启用 NLA 之后就会给你套一个 ssl tunnel
    Osk
        3
    Osk  
    OP
       2020-06-20 19:17:41 +08:00
    @Keyes 可是,credssp 有没有被降级攻击的风险呢?之前一直用 ssh,rdp 了解的比较少,谢谢了
    Osk
        4
    Osk  
    OP
       2020-06-20 19:18:35 +08:00
    @Legman 这些都是基础防御了,并不能提供足够的安全保护
    Keyes
        5
    Keyes  
       2020-06-20 19:52:52 +08:00 via iPhone
    不会,开仅 nla,然后配客户端证书
    yzc27
        6
    yzc27  
       2020-06-20 20:17:04 +08:00 via iPhone
    vpn 回去再 rdp ?我司就是这么搞的。
    Osk
        7
    Osk  
    OP
       2020-06-20 20:19:38 +08:00
    @Keyes 配客户端证书 指的是像 ssh 类似在客户端验证 ssl 证书的指纹是否一致吗?(没有条件给 rd host 搞非自签证书)
    Osk
        8
    Osk  
    OP
       2020-06-20 20:22:17 +08:00
    @yzc27 这成本太恐怖, 个人用户玩不起。不过我暴露在公网的 rdp 都是用 ssh 隧道保护的,和 vpn 一样的思路。现在主要是觉得套一层 ssh 过于麻烦,想裸连 rdp,就是不知道 rdp 的安全性做的如何,毕竟一堆 rdp 被爆破的帖子。
    opengps
        9
    opengps  
       2020-06-20 20:32:16 +08:00 via Android
    不多说,就两点,用到位了就省 80%烦心事:
    1,使用高位非默认端口
    2,使用强密码
    yzc27
        10
    yzc27  
       2020-06-20 22:55:47 +08:00 via iPhone
    @Osk 个人搞墙内自用的 vpn 还好吧,成本不会高鸭,比如 openvpn 、softether 等等。在墙内搞,不过墙,一般都不会干扰。
    wevsty
        11
    wevsty  
       2020-06-21 01:12:02 +08:00
    RDP 在 Vista 还是 Win7 以后就是带 TLS 的加密连接了,默认设置下 RDP Server 禁止非加密连接。
    而且 RDP 连接的时候会告知证书的名称,可以自行核对,还可以设置双向认证,正确使用的话是不怕中间人攻击的。

    暴力破解密码远程登录的问题是无法避免的,可以通过自行修改端口+强密码的方式阻止非法登录。
    基本上 RDP 只要做到改端口+强密码是比较安全的,其他的注意经常做系统更新就行了。
    cest
        12
    cest  
       2020-06-21 01:23:01 +08:00
    @wevsty #11 他是怕 rdp protocol 有问题吧
    被试到 port 一切就结束了
    wevsty
        13
    wevsty  
       2020-06-21 01:36:45 +08:00
    @cest

    一般来说协议的实现都不能保证是绝对安全的,无论是 SSH 还是 RDP 都一样,所以才需要经常性的做更新。
    Windows 系列的市占率并不低,大家基本都是用的 RDP 来管理的。
    对于 RDP Server 这种实现来说如果出现什么远程代码执行或者绕过验证登录之类的漏洞,MS 是无论如何都必须修复好的,对用户来说,经常更新系统就无需担心什么。
    xmoiduts
        14
    xmoiduts  
       2020-06-21 02:32:48 +08:00 via Android
    上个月尝试给自己部署 windows remoteapp 托管微信 exe 和 chrome 浏览器,吃了 vultr 两张工单后大概稳定运行了。

    不涉及 ad 的情况基本就一个 3389 被人扫 我的解决方法还是 zerotier 伪内网连接,关闭 3389 公网访问。

    与 ad 有关的一个 udp389 (我没打错数字)会被 dd 利用,消耗大量带宽,需要关掉公网访问,但关了就连不上 remoteapp 了。

    另一张工单 要求我关掉 vm 上的递归 dns (?),说它可能有被 dd 利用的风险。
    iplcbest
        15
    iplcbest  
       2020-06-21 13:46:20 +08:00 via iPhone
    加个中转机,防火墙仅允许中转机访问
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1028 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:54 · PVG 06:54 · LAX 14:54 · JFK 17:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.