rdp 单机环境真的不好用,安全方面的文档也不像 ssh 那样丰富,比如 ssh 有一堆文档、博客解释证书的作用与验证,sshd 的配置建议,mitm 等常见攻击的防御,rdp:太少了,要么就太专业了看不懂。
但又不得不用, 总不能在 rdp 下套一层 ssh tunnel 吧。。。
前提: 没有 ad 域。
1
Legman 2020-06-20 19:15:42 +08:00 via Android
该端口?白名单?
|
2
Keyes 2020-06-20 19:15:49 +08:00 via iPhone 1
还真有,启用 NLA 之后就会给你套一个 ssl tunnel
|
5
Keyes 2020-06-20 19:52:52 +08:00 via iPhone
不会,开仅 nla,然后配客户端证书
|
6
yzc27 2020-06-20 20:17:04 +08:00 via iPhone
vpn 回去再 rdp ?我司就是这么搞的。
|
7
Osk OP @Keyes 配客户端证书 指的是像 ssh 类似在客户端验证 ssl 证书的指纹是否一致吗?(没有条件给 rd host 搞非自签证书)
|
8
Osk OP @yzc27 这成本太恐怖, 个人用户玩不起。不过我暴露在公网的 rdp 都是用 ssh 隧道保护的,和 vpn 一样的思路。现在主要是觉得套一层 ssh 过于麻烦,想裸连 rdp,就是不知道 rdp 的安全性做的如何,毕竟一堆 rdp 被爆破的帖子。
|
9
opengps 2020-06-20 20:32:16 +08:00 via Android
不多说,就两点,用到位了就省 80%烦心事:
1,使用高位非默认端口 2,使用强密码 |
10
yzc27 2020-06-20 22:55:47 +08:00 via iPhone
@Osk 个人搞墙内自用的 vpn 还好吧,成本不会高鸭,比如 openvpn 、softether 等等。在墙内搞,不过墙,一般都不会干扰。
|
11
wevsty 2020-06-21 01:12:02 +08:00
RDP 在 Vista 还是 Win7 以后就是带 TLS 的加密连接了,默认设置下 RDP Server 禁止非加密连接。
而且 RDP 连接的时候会告知证书的名称,可以自行核对,还可以设置双向认证,正确使用的话是不怕中间人攻击的。 暴力破解密码远程登录的问题是无法避免的,可以通过自行修改端口+强密码的方式阻止非法登录。 基本上 RDP 只要做到改端口+强密码是比较安全的,其他的注意经常做系统更新就行了。 |
13
wevsty 2020-06-21 01:36:45 +08:00
@cest
一般来说协议的实现都不能保证是绝对安全的,无论是 SSH 还是 RDP 都一样,所以才需要经常性的做更新。 Windows 系列的市占率并不低,大家基本都是用的 RDP 来管理的。 对于 RDP Server 这种实现来说如果出现什么远程代码执行或者绕过验证登录之类的漏洞,MS 是无论如何都必须修复好的,对用户来说,经常更新系统就无需担心什么。 |
14
xmoiduts 2020-06-21 02:32:48 +08:00 via Android
上个月尝试给自己部署 windows remoteapp 托管微信 exe 和 chrome 浏览器,吃了 vultr 两张工单后大概稳定运行了。
不涉及 ad 的情况基本就一个 3389 被人扫 我的解决方法还是 zerotier 伪内网连接,关闭 3389 公网访问。 与 ad 有关的一个 udp389 (我没打错数字)会被 dd 利用,消耗大量带宽,需要关掉公网访问,但关了就连不上 remoteapp 了。 另一张工单 要求我关掉 vm 上的递归 dns (?),说它可能有被 dd 利用的风险。 |
15
iplcbest 2020-06-21 13:46:20 +08:00 via iPhone
加个中转机,防火墙仅允许中转机访问
|