这是一个创建于 1811 天前的主题,其中的信息可能已经有所发展或是发生改变。
平时没有看 windows 服务器审核日志的习惯,今天一看 2 台自己的 windows vps 一直再被人爆破,vps 以前都改了远程端口了,都禁用了共享端口,用户名也非默认,现在出现被人爆破应该是被人扫描到了端口,然后尝试登录,不知道大佬们都是怎么处理 rdp 安全的,我有几个想法。1 、开放几个非 rdp 端口用来做伪装,如果有人访问这个端口就拉黑 ip,2 、设置一个 linux 服务器 ip 为可以远程的 ip,服务器上安装 frp,通过 frp 的 stcp 方式来远程,这样的话只有 frpc 连接成功后才能远程。
 | 1 jasonyang9 2020-12-15 21:07:47 +08:00 我能想到的有:port knocking,ssh proxy jump,vpn (wireguard 等) 当然如果 rdp 能够用密钥登录那是最方便的,但。。。 |
 | 2 opengps 2020-12-15 21:24:02 +08:00 好像注册表还是组策略的,有个项目,可以设置失败次数限制延迟时间的 |
 | 3 crab 2020-12-15 21:36:39 +08:00 提高密码复杂度,就是跑到天荒地老都没用。 |
| 4 opengps 2020-12-15 21:58:39 +08:00 为了避免大家往同一个方向去考虑,我补充下另外一个防护方向:企业一般会选用堡垒机,或者 VPN 安全拨入内网后使用内网访问 |
 | 5 x2009again OP @opengps 我的思路 2 就是类似堡垒机,通过 frps 服务器来远程,不过这种方式有个问题,好像手机就不能远程上去了,目前 frp 只支持 pc |
 | 6 xmlf 2020-12-15 22:10:44 +08:00 via Android @x2009again 家里路由器不用上干吗?或者服务器上装个 wireguard,手机连上去 |
 | 7 WordTian 2020-12-15 22:30:01 +08:00 via Android 默认用户名 administrator 改掉或禁用,密码复杂点,个人使用基本够了 |
 | 8 0TSH60F7J2rVkg8t 2020-12-15 22:42:16 +08:00 via iPhone fail2ban 有 for win 的版本,但我忘记名字了 |
 | 9 dream4ever 2020-12-15 22:58:19 +08:00 用关键字 “fail2ban windows” Google 一下吧,相关的工具还是有的。 |
 | 10 AsiaToyo 2020-12-15 23:14:38 +08:00 我是限制 IP 段接,找比定的 IP 段,然後限定 |
 | 11 PUBG98k 2020-12-15 23:24:30 +08:00 只允许某个 IP,IP 段 访问 RDP |
 | 12 billytom 2020-12-15 23:29:02 +08:00 @opengps 像这种 VPN 内网登陆的,机器应该没有公网权限,那 windows 就不用更新系统了?打补丁之类的了? |
| 13 opengps 2020-12-15 23:39:53 +08:00 @billytom 你忽略了网络访问方向: 别人访问服务器,这是入方向。这是目前运维人员最常用的端口防御策略,比如安全组防火墙等。 服务器访问外部,这是出方向。windows 更新属于这个方向。一般来说,只有特别高级要求的安全策略,才对这个方向进行控制,实现比如木马及时进入也无法对外取得联系的效果。 |
| 15 billytom 2020-12-16 05:53:14 +08:00 via iPhone @opengps 谢谢回答,但我不理解的是如果禁掉入站,光开出站流量也不顶用啊,目前我司是 vpn 进内网方式确保安全的,windows 太多漏洞了,害怕 |
 | 16 anyclue 2020-12-16 08:17:40 +08:00 提高密码复杂度,就是跑到天荒地老都没用。 |
 | 17 ragnaroks 2020-12-16 08:38:02 +08:00 ipban,我设置的是失败两次(忽略时间)则永久屏蔽,2 年多了没被偷过 如果安全性要求较高,还是得堡垒机靠谱 |
 | 18 mingl0280 2020-12-16 08:40:45 +08:00 via Android 上智能卡登录啊…… |
 | 19 1daydayde 2020-12-16 09:02:46 +08:00 via iPhone 上双因素认证 |
 | 20 whitefox027 2020-12-16 09:08:03 +08:00 我是用脚本修改服务器密码,一种是定时修改、另一种是远程连接断开后立即修改。修改之后将新的密码加密存放在数据库,需要远程的时候从数据库读取最新的密文进行解密,然后将我本地的 ip 加入防火墙策略,同时生成 rdp 文件。远程断开之后立即修改密码,修改防火墙策略。 |
 | 21 Eytoyes 2020-12-16 09:26:22 +08:00 我自己是高位端口+复杂密码+更新补丁防范绝大部分攻击,爆破不可怕,弱密码和协议漏洞才要命,爆破只是让日志难看一点 |
 | 22 laminux29 2020-12-16 09:55:55 +08:00 你可以自己写个程序,生成 16 位大小写加符号的密码。理论上,除非量子计算机,否则全球计算机一起破解,以现在的算力,百年内破不了。 当然,这种密码,不方便记忆,也不方便存储。 对此我有更好的建议: 自定义前缀 + 可记录的包含大小写 /符号 /数字的复杂密码 + 固定算法加盐。 其中自定义前缀与固定算法,要选方便背诵的,记在脑子里。 固定算法还要选方便口算的。 举个例子,对于本站的密码: 自定义前缀:passWd2020 。这种好背诵吧?背诵下来,别写在任何纸质笔记本上,也别写在云笔记里。 可记录的包含大小写 /符号 /数字的复杂密码:v2Ex_#xH9dY7 。这种密码,可以写在纸质笔记本上,也可以写在云笔记里。 固定算法:把密码的最后一位,如果是字母,则大小写翻转,然后结尾再加固定字符串"2333";如果密码最后一位是数字,则加上乘以 4 的 intToString 字符串,再加固定字符串"2333" 因为密码最后一个数字是 7,因此乘以 4,intToString 后是"28",再加"2333",因此固定算法产生的最终字符串为 282333 最后,拼起来: passWd2020 + v2Ex_#xH9dY7 + 282333 这种密码方案,既安全,又能记录在云笔记里。 |
 | 23 ytmsdy 2020-12-16 10:49:20 +08:00 1:改端口,我一般都是把 windows 的远程端口修改 22,linux 的远程端口修改为 3389 2:搞一个随机密码,老长老长的那种。 |
| 24 x2009again OP @ragnaroks 这个昨天已经安装了,国外服务器有效果,国内的服务器爆破都没有 ip 地址的,效果不大 |
| 25 x2009again OP @whitefox027 你这个厉害,是 windows 服务器? |
| 26 x2009again OP @laminux29 密码已经加入了随机密码,拆分存储了 |
| 27 whitefox027 2020-12-16 15:26:56 +08:00 @x2009again 对,专门针对 windows 服务器的,公司的 windows 服务器我全部都上了, |
 | 29 iloveayu 2020-12-16 16:02:25 +08:00 强密码,定期修改防爆破。 加 2FA,使用 Microsoft 账户登入和域账户的情况下,对 2FA 软件不友好,如果是 Server 操作系统+本地账户,不存在这问题。 |
 | 30 KagurazakaNyaa 2020-12-16 16:20:52 +08:00 目前来看,搭个 VPN 是最通用的方案了,手机也可以走 VPN 来登录的,只要支持 L2TP 或者 PPTP 这些协议就行 |
 | 31 Dragonish3600 2020-12-16 16:23:46 +08:00 via iPhone 改掉 admin,设置复杂密码 改端口,基本就可以了 |
 | 32 HFX3389 2020-12-16 16:34:29 +08:00 @x2009again #24 国内的服务器爆破都没有 ip 地址的 是啥...记录不到 IP 的意思吗? |
 | 33 whwlsfb 2020-12-16 16:48:03 +08:00  1 |
 | 34 lopetver 2020-12-16 16:52:03 +08:00 最简单的方法 win 防火墙设置白名单 IP 只允许白名单里面的 IP 远程 |
 | 35 weifan 2020-12-16 17:00:10 +08:00 我认为 frp 更不安全...应该都有安全组吧,设一个你自己大概的 IP 段,密码强点,足以。大学那会,因为 IP 是固定的,我直接指定 IP 可访问某端口... |
 | 36 yqs112358 2023-07-14 23:30:44 +08:00 可以找找类似 Fail2Ban 的 Windows 版的项目,比如有个叫 wail2ban 的,还有这个 https://github.com/digitalruby/ipban ,等等 |
Select Language