平时没有看 windows 服务器审核日志的习惯,今天一看 2 台自己的 windows vps 一直再被人爆破,vps 以前都改了远程端口了,都禁用了共享端口,用户名也非默认,现在出现被人爆破应该是被人扫描到了端口,然后尝试登录,不知道大佬们都是怎么处理 rdp 安全的,我有几个想法。1 、开放几个非 rdp 端口用来做伪装,如果有人访问这个端口就拉黑 ip,2 、设置一个 linux 服务器 ip 为可以远程的 ip,服务器上安装 frp,通过 frp 的 stcp 方式来远程,这样的话只有 frpc 连接成功后才能远程。
This topic created in 1992 days ago, the information mentioned may be changed or developed.
 |
1
jasonyang9 Dec 15, 2020
我能想到的有:port knocking,ssh proxy jump,vpn (wireguard 等)
当然如果 rdp 能够用密钥登录那是最方便的,但。。。 |
 |
2
opengps Dec 15, 2020
好像注册表还是组策略的,有个项目,可以设置失败次数限制延迟时间的
|
 |
3
crab Dec 15, 2020
提高密码复杂度,就是跑到天荒地老都没用。
|
|
4
opengps Dec 15, 2020
为了避免大家往同一个方向去考虑,我补充下另外一个防护方向:企业一般会选用堡垒机,或者 VPN 安全拨入内网后使用内网访问
|
 |
5
x2009again OP @opengps 我的思路 2 就是类似堡垒机,通过 frps 服务器来远程,不过这种方式有个问题,好像手机就不能远程上去了,目前 frp 只支持 pc
|
 |
6
xmlf Dec 15, 2020 via Android
@x2009again 家里路由器不用上干吗?或者服务器上装个 wireguard,手机连上去
|
 |
7
WordTian Dec 15, 2020 via Android
默认用户名 administrator 改掉或禁用,密码复杂点,个人使用基本够了
|
 |
8
0TSH60F7J2rVkg8t Dec 15, 2020 via iPhone
fail2ban 有 for win 的版本,但我忘记名字了
|
 |
9
dream4ever Dec 15, 2020
用关键字 “fail2ban windows” Google 一下吧,相关的工具还是有的。
|
 |
10
AsiaToyo Dec 15, 2020
我是限制 IP 段鏈接,找比較穩定的 IP 段,然後限定訪問
|
 |
11
PUBG98k Dec 15, 2020
只允许某个 IP,IP 段 访问 RDP
|
|
13
opengps Dec 15, 2020
@billytom 你忽略了网络访问方向:
别人访问服务器,这是入方向。这是目前运维人员最常用的端口防御策略,比如安全组防火墙等。 服务器访问外部,这是出方向。windows 更新属于这个方向。一般来说,只有特别高级要求的安全策略,才对这个方向进行控制,实现比如木马及时进入也无法对外取得联系的效果。 |
 |
15
billytom Dec 16, 2020 via iPhone
@opengps 谢谢回答,但我不理解的是如果禁掉入站,光开出站流量也不顶用啊,目前我司是 vpn 进内网方式确保安全的,windows 太多漏洞了,害怕
|
 |
16
anyclue Dec 16, 2020
提高密码复杂度,就是跑到天荒地老都没用。
|
 |
17
ragnaroks Dec 16, 2020
ipban,我设置的是失败两次(忽略时间)则永久屏蔽,2 年多了没被偷过
如果安全性要求较高,还是得堡垒机靠谱 |
 |
18
mingl0280 Dec 16, 2020 via Android
上智能卡登录啊……
|
 |
19
1daydayde Dec 16, 2020 via iPhone
上双因素认证
|
 |
20
whitefox027 Dec 16, 2020
我是用脚本修改服务器密码,一种是定时修改、另一种是远程连接断开后立即修改。修改之后将新的密码加密存放在数据库,需要远程的时候从数据库读取最新的密文进行解密,然后将我本地的 ip 加入防火墙策略,同时生成 rdp 文件。远程断开之后立即修改密码,修改防火墙策略。
|
 |
21
Eytoyes Dec 16, 2020
我自己是高位端口+复杂密码+更新补丁防范绝大部分攻击,爆破不可怕,弱密码和协议漏洞才要命,爆破只是让日志难看一点
|
 |
22
laminux29 Dec 16, 2020
你可以自己写个程序,生成 16 位大小写加符号的密码。理论上,除非量子计算机,否则全球计算机一起破解,以现在的算力,百年内破不了。
当然,这种密码,不方便记忆,也不方便存储。 对此我有更好的建议: 自定义前缀 + 可记录的包含大小写 /符号 /数字的复杂密码 + 固定算法加盐。 其中自定义前缀与固定算法,要选方便背诵的,记在脑子里。 固定算法还要选方便口算的。 举个例子,对于本站的密码: 自定义前缀:passWd2020 。这种好背诵吧?背诵下来,别写在任何纸质笔记本上,也别写在云笔记里。 可记录的包含大小写 /符号 /数字的复杂密码:v2Ex_#xH9dY7 。这种密码,可以写在纸质笔记本上,也可以写在云笔记里。 固定算法:把密码的最后一位,如果是字母,则大小写翻转,然后结尾再加固定字符串"2333";如果密码最后一位是数字,则加上乘以 4 的 intToString 字符串,再加固定字符串"2333" 因为密码最后一个数字是 7,因此乘以 4,intToString 后是"28",再加"2333",因此固定算法产生的最终字符串为 282333 最后,拼起来: passWd2020 + v2Ex_#xH9dY7 + 282333 这种密码方案,既安全,又能记录在云笔记里。 |
 |
23
ytmsdy Dec 16, 2020
1:改端口,我一般都是把 windows 的远程端口修改 22,linux 的远程端口修改为 3389
2:搞一个随机密码,老长老长的那种。 |
|
24
x2009again OP @ragnaroks 这个昨天已经安装了,国外服务器有效果,国内的服务器爆破都没有 ip 地址的,效果不大
|
|
25
x2009again OP @whitefox027 你这个厉害,是 windows 服务器?
|
|
26
x2009again OP @laminux29 密码已经加入了随机密码,拆分存储了
|
|
27
whitefox027 Dec 16, 2020
@x2009again 对,专门针对 windows 服务器的,公司的 windows 服务器我全部都上了,
|
 |
29
iloveayu Dec 16, 2020
强密码,定期修改防爆破。
加 2FA,使用 Microsoft 账户登入和域账户的情况下,对 2FA 软件不友好,如果是 Server 操作系统+本地账户,不存在这问题。 |
 |
30
KagurazakaNyaa Dec 16, 2020
目前来看,搭个 VPN 是最通用的方案了,手机也可以走 VPN 来登录的,只要支持 L2TP 或者 PPTP 这些协议就行
|
 |
31
Dragonish3600 Dec 16, 2020 via iPhone
改掉 admin,设置复杂密码
改端口,基本就可以了 |
 |
32
HFX3389 Dec 16, 2020
@x2009again #24 国内的服务器爆破都没有 ip 地址的 是啥...记录不到 IP 的意思吗?
|
 |
33
whwlsfb Dec 16, 2020  1
|
 |
34
lopetver Dec 16, 2020
最简单的方法 win 防火墙设置白名单 IP
只允许白名单里面的 IP 远程 |
 |
35
weifan Dec 16, 2020
我认为 frp 更不安全...应该都有安全组吧,设一个你自己大概的 IP 段,密码强点,足以。大学那会,因为 IP 是固定的,我直接指定 IP 可访问某端口...
|
 |
36
yqs112358 Jul 14, 2023
可以找找类似 Fail2Ban 的 Windows 版的项目,比如有个叫 wail2ban 的,还有这个 https://github.com/digitalruby/ipban ,等等
|
Select Language