windows 远程桌面， rdp 通过端口映射开放到公网访问，有什么好的安全措施吗

额，组网或者套一个 VPN

不是弱密码并且补丁都打了的情况下，问题不大。

当然还是 vpn 其它的叫 knock iptables ，没用过。

在 V2 ，问就是让你上 VPN

tailscale 或者 zerotier

我的一直开着，补丁打全，密码别用简单的，开了有一年了，没啥问题。检查日志，偶尔会收到一些爆破的，但是用的都是些常用账号尝试的，我直接用的微软账号，普通账号压根没开，谅爆破者到地老天荒都进不来。

改端口，经常更新系统

不使用 RDP 默认端口，不把 RDP 的端口映射到公网上，把 ssh 的端口映射到公网上，需要连接的时候用 ssh -L 转发。

我的主力机装了 eset nod32 防火墙会自动挡住
其他的各 win 虚拟机上面装一个软件 rdp defender 爆破 ip 会被自动黑名单
实际效果这样子

我是做了个微信机器人，然后通过发送指令控制是否开启端口映射，要远程了我就发指令开启，远程完就关闭，这样最稳妥，减少暴露公网的时间

@iomect 好丑的用户界面。另外 windows defender firewall 挡不住吗，还需要这些（过时、收钱、无效、冗余）的软件来挡？

还有个后台服务软件叫 ipban ，能提供一样的功能，我现在在用。

改端口，禁用 NLA ，NTLM ，应该会好一点。目前没发现有人尝试。之前开了 ssh 端口，也改了端口，才开了两天都被植挖矿病毒

密码加强，系统版本及时更新，使用最新加密方法。

全世界用公网 RDP 的多了，奇奇怪怪的私有方案不一定比微软专门维护的 RDP 安全，一般说公网 RDP 容易被黑都是因为很多人用弱密码或者不设密码。

实在不放心，RDP 也支持双向证书认证，这个足够安全了吧。

我高位端口弱密码跑了多年了也没中过招。。

除了当年的 WIN2000/XP 可以用空密码远程，之后好像都没有听说过出问题。

非重点目标的话，用非标端口+非默认用户+复杂密码应该够安全了。

高位端口+强密码+动态 IP ，相当于 100%安全，几乎可以认为不可入侵。

我之前用过内网穿透+端口转发，还是弱口令，直接中勒索病毒，还好没什么重要文件。血的教训

远程桌面网关

@iomect 一眼就看到几个腾讯云的 IP

主要是不像 ssh 可以用双向公钥认证，RDP 好像并不能设置这个，只能用 TLS 单向认证+Windows 内置的账户密码认证，又没有什么防爆破措施，个人不太信任双向公钥以外的认证方法。

@iomect 我进官网没看到这个软件的下载地址，你方便发一下吗？

公网 IPv6 ，3389 端口一直开着的。不过一般是关机状态，远程需要用的时候会先 WOL 唤醒下再连。

改默认端口就能解决 99%的攻击问题。我改后好多年了都没有再被爆破过。

为啥要暴露公网 wireguard 不行吗

第一强密码
第二改成非默认端口
很多服务器甚至都只完成第一步，所以这两部加起来已经可以避免绝大多数有效攻击了

堡垒机，nextterminal

@jim9606 RDP 支持智能卡认证，相当于要求本地物理密钥，更安全。不过配置似乎非常麻烦

非标端口复杂密码关默认用户名。。可以的话把 ping 也关了。。

IPv6 only + DDNSv6 + 非默认端口 + 最新版本 RDP ，没有被爆过。
为什么不用 VPN ？是觉得会影响其他网络，还是嫌麻烦？
前者还可以使用 SS + RDP over socks5 解决，后者有一些 RDP 软件可以自动在连接之前拨号 VPN 。

Duo security 可以加二次验证。

just dont

@xixiv5 #21 使用 Google 搜索 rdp defender 2.4 就有下载地址

防火墙 default deny

要注意有时你以为只有微软账号能登陆，实际上本地缩写用户名也是可以登录的

装个火绒就行了 3306 改成 6666

我中过勒索病毒，我有发言权[doge]

1 、首先 rdp 需要帐号密码一起登录，帐号别用 Administrator ，用这个相当于破解成功了一半，用自定义名称加大难度。

2 、抵御暴力破解，linux 下有个工具叫 fail2ban 可以很方便防御暴力破解，windows 也有类似的： https://github.com/DigitalRuby/IPBan ，但这玩意儿只能在公网 ip 环境识别对方的 ip 进行屏蔽，如果是内网穿透暴露到公网则无效，所以 IPBan 只能用在公网 ip 端口转发场景下（既然都端口转发了顺便把入站端口改成高位端口，别用默认 3389 ），而内网穿透可以做到更安全，比如 frp 的 tcp 模式是穿透到互联网完全暴露，stcp 模式只穿透到公网上的某个局域网，安全很多很多。

比较这 3 种方案，frp + tcp 安全性最差，公网 ip + 端口转发 + IPBan 还是会被尝试暴力破解，frp + stcp 不会，在需要访问的本机启动 visitor 客户端，则只有自己能访问远程 rdp ，安全性很接近 vpn ，不管本机是 linux 还是 windows 都可以设置 visitor 开机自启，用起来很方便，linux 用 docker ，windows 用 winsw 写入服务。

3 、验证效果，打开 windows 事件查看器，搜索 4625 可以看到被暴力破解次数，过去 7 天 32897 次：




4 、最安全还是 vpn ，暴露的攻击面小很多，比如 wireguard 只暴露一个 udp 端口，即使家宽没有公网 ip 也可以用 frp 把 udp 端口穿透出去假装有公网 ip ，不过传输带宽依赖于 vps ，实测 1M 也可以 rdp 。

我发现也有弊端，vpn 客户端会导致本机所有公网流量优先在远端 peer 绕一圈，这是我所不希望的。



总结起来，frp + stcp 和 vpn 这 2 种方案不会被暴力破解，4625 失败登录次数会是 0 。

1.经常观察本地 IP 地址段，把地址段的 IP 以 16 位掩码，做成白名单。此举直接灭掉 99% 的扫描、入侵与攻击。

2.安装 wailban ，安全加 0.9%。

3.经常更新补丁 + 安装 360 安全卫士 + 复杂密码，补齐最后的 0.1%，直接无敌。

我是 surge+ss server vpn 回家

RDP 基础上，用上屏幕锁，告诉你密码 你也进不到桌面。有其他招吗？

@photon006 查了下最近 7 天 2.37w 登录， 虽然改了默认端口，还是逃不过被扫描

@goodryb 是的改端口没啥用，关键是要缩小暴露范围，frp + stcp 或 vpn 都是这个目的。

小公司的网，解析到域名，开了 5 年，目前没发现问题。
如楼上前面人所说，
1. 不要用 administrator
2. 然后密码复杂化
3.可以用组策略里定制下安全策略，比如登录失败 3 次锁定等等

推荐 tailscale ，很稳！

日经贴，你问就是 VPN
但是个人就 TODESK+远程桌面就行了，最新的系统+自己的用户名和密码它破到下辈子也破不开

ssh 隧道解决问题

申请一个证书，开启 ssl 。这样也比较安全吧！

直接 tailscale 组网 相当于内网链接

我现在是安装 ssh-server ，然后通过 ssh 打隧道再远程桌面，上次开远程桌面被黑了，怕了

我直接使用 IPv6+非标高端口+强密码。我认为还算安全。没发现端口被扫过哈哈。。毕竟电信给了/56 .咋扫呢

腾讯云 frp ，高位端口，32 位随机生成密码，禁用默认账号密码，定期更新安全补丁，最近 7 天被爆破 1.7w 次。已经用了半年，暂时没有被黑过。

@photon006 wg,按说是可以指定网段的，如果不写 0.0.0.，应该不会绕

账户名用奇葩一点的名字

不要暴露 ipv4 ，用 v6 地址连接 RDP

@xwit 确实是，今天解决了这个大问题，感谢。

不用默认 AllowedIPs=0.0.0.0 ，路由就不会默认走远端 peer ，而是优先使用本地网络，完美。