我正在运行一个没有 WiFi 的小型局域网。2 台 XP 机器、1 台 Vista、2 台打印机和一个用于安全摄像头的 DVR。
上周我设置了 RealVNC(个人版,无加密),以便我可以远程查看网络内的计算机。
我还使用 LogMeIn Hamachi 设置了 VNC,以便我可以从互联网访问 LAN。
我在防火墙上打开了端口 5900。
另外,我还关闭了 RealVNC 中的身份验证,因为我认为通过 Hamachi 的安全性就足够了。
我计划关闭端口 5900 并检查设置是否仍然有效。
没想到,今天早上我坐在电脑前时,有人通过 VNC 访问了我的电脑。我看到程序启动了,鼠标也动了。
在我考虑之前,我断开了调制解调器。但是我现在找不到任何传入 IP 地址的日志。我检查了 Windows 防火墙,发现记录传入连接的选项未启用。
我认为我的设置是安全的,因为我使用了受密码保护的 VPN。
- 我哪里做错了?
- 我该如何保护自己?
- 我是不是被特别针对了?
- 我怎样才能知道是谁?
- 我该去哪里呢?
现在我甚至害怕再次将我的局域网连接到互联网。
请指教!
答案1
以下是改进配置的一些步骤:
好吧,现在我们比以往任何时候都更需要这些安全机制来保护 XP。每台机器最多应该有一个管理员帐户,而且这不应该是 Windows 出厂时附带的默认“管理员”帐户 - 它应该是一个只有你(机器所有者)知道的帐户名。这样,如果有恶意程序进入机器,它只能破坏你的配置文件,而不会破坏整个操作系统。
您的帐户需要看起来像这样 - 默认管理员帐户被禁用,并为管理任务创建另一个用户,并使用强密码。
最后,请确保禁用匿名用户的计算机帐户枚举,这样没有人可以/能够在没有身份验证的情况下查询 XP 计算机中有哪些帐户。考虑到我们上面所做的所有更改,这无论如何都会非常困难,但良好的安全性是一种分层方法,而不是灵丹妙药。
Windows XP 需要对发送给它的零流量做出响应,因为即使在好日子里,这也是一个巨大的攻击载体。这意味着没有监听服务,就像我们上面所做的那样,但我们将通过激活防火墙并将其设置为阻止所有入站流量(无一例外)来解决这个问题。
XP 中没有出站防火墙限制,所以这是我们能得到的最好的结果。我强烈建议将防火墙与外部设备加倍,并配置出站限制。
参考
答案2
因为其他人刚刚回答了这个问题...未加密的 VNC 就像是把前门敞开着,使用 XP 就像是锁上一扇脆弱的门,而 Hamachi,呃,它是一个懒人的 VPN,但也不算太糟糕。
听起来你实际上并没有将 VNC 锁定到 VPN,它仍然可以通过互联网公开访问。如果你想在 LAN 上使用无密码 VNC(呃,只需使用 RDP),你需要做的是堵塞互联网网关上的 VNC 端口,但在机器本身上保持打开状态。这意味着,为了尝试 VNC 访问,需要位于本地网络上(即 VPN 接入)。