如题,看首页老哥被暴力破解帖子有感,鉴于自己也有 win 服务器。。
话说有关安全常识,我觉得不暴露公网当然是好的,不过我倒是觉得强密码暴露公网也无伤大雅,如果有强密码加上 fail2ban 之类的工具我感觉防扫描这件事本身应该是足够安全的。
关于强密码的定义个人日常使用 bas64 范围的 32 位密码,我感觉刚好在一个人脑能记住又问题不大的点上
1
msg7086 2021-12-12 06:45:58 +08:00
《 人 脑 能 记 住 》
|
2
Daming 2021-12-12 07:06:21 +08:00
|
3
xenme 2021-12-12 08:10:48 +08:00 via iPhone
0day 防不胜防,所以,翻墙回家保平安
|
4
06_taro 2021-12-12 08:13:38 +08:00 via Android
Win server 常规安装默认就开启了 42 天换密码+要求强密码+连续输错密码时 ban IP 。
只要不去组策略里关闭。 至少在 RDP 登陆方面,没有 fail2ban 的必要。 非正常安装或者手动关闭的话,那是自己的选择…… 其他软件另当别论。 |
5
anubu 2021-12-12 11:26:11 +08:00
@06_taro 有类似需求,能确认 Windows Server 默认安装提供“连续输错密码时 ban IP ”这个功能吗?如果能提供一下相关信息将会非常有帮助。我搜到的信息,大部分还是推荐第三方工具或自写脚本配置防火墙规则实现。
|
6
documentzhangx66 2021-12-12 11:46:24 +08:00
1.fail2ban ,是一种偷懒的,不负责任的解决方案。因为管理端口,是不能直接暴露在公网的。管理员的正确的方式,是先使用专用通信渠道,比如 VPN ,来连接到服务器网段。
2.如果一定要偷懒,可以试试这个方案,fail2ban 的 win 替代品: https://github.com/glasnt/wail2ban |
7
crab 2021-12-12 12:21:15 +08:00
不用默认的用户名 administrator ,不用默认的端口 3389 ,要再安全直接 ipsec 设置策略只允许指定 IP 连接。
|
8
jhytxy 2021-12-12 14:12:44 +08:00 via iPhone
duo
2fa 登陆 每次需要在手机上确认一下 |
9
06_taro 2021-12-13 07:17:08 +08:00
|