将远程桌面直接暴露给互联网

没有任何严肃的网络管理员会将 RDP 服务器直接暴露在互联网上。

如果其中存在任何漏洞/后门，不仅系统的一部分（即拐点/跳转框）会“结束”，而且还会为 DoS 攻击和 LAN 上的指纹桌面提供机会，从而泄露不必要的信息。

根据 RDP 服务器和客户端的不同，还可能进行 MITM（中间人）攻击。有多种方法可以做到这一点，包括强制协议降级或依赖不安全的加密。您可能会发现https://labs.portcullis.co.uk/blog/ssl-man-in-the-middle-attacks-on-rdp/有趣的。

谨慎的操作员可能会设置 VPN 并仅允许通过该 VPN 进行远程 RDP 访问，以提供另一层安全性、访问管理、审计和控制。

微软的远程桌面使用加密，因此通讯因此得到了合理的保护。弱点是对您的用户名和密码进行暴力攻击。

由于黑客不断在互联网上扫描弱点，并且目前已知（和未知）的漏洞数量众多，最好设置尽可能多的保护措施（但不要使访问过于复杂）。

为了保护 RDP，您可以执行以下操作：

1. 更改远程桌面侦听的默认端口

2. 实力雄厚
   使用非默认用户名和长而复杂的密码

3. 受限用户帐户
   secpol.msc通过运行并导航到以下地址 严格限制可以使用 RDP 的用户 本地策略 > 用户权限分配，双击“允许通过远程桌面服务登录”并删除所有显示的组，然后添加一个用户。

4. 高安全级别
   运行gpedit.msc 并导航至 本地计算机策略 > 管理模板 > Windows 组件 > 远程桌面服务 > 远程桌面会话主机 > 安全并设置：

   • “设置客户端连接加密级别” -> 启用和高级别，以便您的会话使用 128 位加密进行保护
   • “要求对远程（RDP）连接使用特定的安全层”-> SSL
   • “使用网络级身份验证要求对远程连接进行用户身份验证”->已启用

5. 设置帐户锁定策略
   要在多次猜测错误后锁定帐户一段时间，请前往管理工具 > 本地安全策略 > 帐户策略 > 帐户锁定策略，并为所有三个选项设置值（3 次无效尝试和 3 分钟的锁定持续时间是合理的）。

6. 跟踪登录到您的电脑
   定期进入事件查看器 应用程序和服务日志 > Microsoft > Windows > TerminalServices-LocalSessionManger > Operational，查看登录信息。

7. 保持较高的 UAC 水平

8. 创建 VPN 服务器
   您也可以自行设置 VPN 服务器（关联)，这将增加另一层安全性。

我在我们的网站上联系过实施了上述所有要点的发帖人，这似乎已经足够了。实施了所有这些预防措施后，暴力攻击基本上是不可能的，因此唯一剩下的威胁就是一些漏洞。但由于在 VPN 登录或 RDP 登录中从未发现任何漏洞，我认为这种设置足够安全。

抱歉我迟到了，但我想为了您和其他人将来的参考，您可能会发现我在相关问题上的经历——我们就用“有趣”来形容吧。

不久前，我在 Linux 服务器上设置了 OpenVPN。Linux 使用 IPTables（顺便说一句，这是一款出色的网络软件）具有出色的日志记录功能。我打开了 SSH 端口，以便可以传输证书。

那天晚上，我查看了日志，发现一个外部攻击者在路由器上暴露该端口后几秒钟内就开始暴力破解该端口。然后，因为他们知道三次尝试失败后帐户可能会被锁定，所以他们的机器人农场使用相同的密码，并轮换帐户名，从而阻止系统识别同一帐户名的多次失败尝试。然后，因为他们一定意识到 IPTables 可以阻止来自同一 IP 地址的失败尝试，所以他们只尝试了来自同一 IP 的六次尝试，然后转移到另一台计算机。

我之所以说是机器人农场，是因为在整个一周内（我很快就锁定了 SSH，但保持端口打开，这样我就可以观察——我完全着迷了）源 IP 的数量从未重复过，每隔几秒、每分钟、每天每小时——六次尝试，一个新的 IP 地址就会出现，继续从相同的按字母顺序排列的帐户名列表中继续查找。

设置 VPN。使用证书，而不是帐户名。不要将 RDP 之类的东西暴露超过几个小时，即使你有一个很棒的密码创建系统。不要这样做。（顺便说一句，我的帐户名在他的列表中，只是在等他找到正确的密码。）

我同意通常不建议将 RDP 暴露给互联网。但我曾多次这样做来访问跳转箱，将防火墙设置为仅允许来自已知远程静态 IP 地址的 RDP 连接。这样可以防止任何暴力破解或漏洞利用。虽然存在中间人攻击的可能性，但 NLA 不会阻止这种情况。

我对 SSH 做了类似的事情。