这是一个创建于 1446 天前的主题,其中的信息可能已经有所发展或是发生改变。
经常检测到暴力破解远程桌面的记录,只通过密码来保护远程桌面登录有点慌啊。
检测到远程桌面暴力破解,攻击者:143.92.* 检测到远程桌面暴力破解,攻击者:1.255.* 那么 Win10 有没有低成本实现微软账号远程桌面登录二次认证的方案?
我查过 google ,目前相关的方案是 https://xz.aliyun.com/t/5343 ,通过 Duo Security 来实现本地账号登录,但是不支持微软账号,那么还有别的办法吗?
 | 1 jasonchn 2022-01-04 11:59:14 +08:00 via Android 都能公网开放 UDP 3389 了 为啥不把桌面放到 OPEN VPN 后边,OPENVPN 基于证书认证 啥攻击都没辙 |
 | 3 steptodream 2022-01-04 12:08:30 +08:00 @jasonchn openvpn 在国内大环境下用会不会被河蟹啊,我上半年回国在国内用 openvpn 出境,就一个人用,用了一个多月服务器就被河蟹了。 |
 | 4 yaoyaomoe 2022-01-04 12:27:35 +08:00 via iPhone 用过 miniorange 但是不知道现在能不能支持微软账户了…… |
| 5 yaoyaomoe 2022-01-04 12:36:11 +08:00 via iPhone 以及 不打开 administrator 的远程登录 改一下端口 禁止管理员登陆 rdp (只允许普通权限账户登陆 用 uac 控制)可能就不太容易爆破了 |
 | 7 DTCPSS 2022-01-04 13:15:34 +08:00 我把 RDP 放在 SSH 后面,然后转发 3389 端口 |
 | 9 cweijan 2022-01-04 13:41:04 +08:00 试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网. |
 | 10 luzhh 2022-01-04 13:48:28 +08:00 问一下,是通过什么方式检测到的。 |
 | 11 yzc27 2022-01-04 13:54:07 +08:00 我司是把 RDP 放在 Cisco anyconnect 后面,连 Cisco anyconnect 时就有二次认证,所以登 RDP 就直接用账户密码,没额外再来一次二次认证了。 |
 | 12 LANB0 2022-01-04 13:57:20 +08:00 贝锐家的蒲公英可以满足,就是楼上说的异地组网,打洞成功很给力 |
 | 13 forgottencoast 2022-01-04 15:11:24 +08:00 看到楼上有人讨论证书,Win10 的远程登陆不也是通过证书的吗? 所以应该可以从证书方面入手吧? |
| 14 yaoyaomoe 2022-01-04 15:15:26 +08:00 via iPhone @forgottencoast 证书可以 不过前提上 ad |
 | 16 ysc3839 2022-01-04 16:34:19 +08:00 @forgottencoast rdp 还是使用用户名密码认证的,虽然 rdp 传输会用 TLS 加密,但是只是服务器有个证书,类似 ssh 的 server key ,服务器不会验证客户端的证书。 |
 | 17 internelp 2022-01-04 16:40:10 +08:00 @steptodream 国内到国内,一般不会 |
 | 19 Rache1 2022-01-04 17:19:03 +08:00 @jwwang 之前也是看这个教程配置的,但是我用着好像没啥问题哇,就即使使用微软账号,他还是会弹那个框,我取消了用微软账号登入,它还是会回到那个二次验证的框框 |
 | 20 remxme 2022-01-04 17:23:57 +08:00 防火墙加上 ip 限制 |
 | 21 lonewolfakela 2022-01-04 19:10:03 +08:00 实话说搞这么多麻烦事不如把密码改成一个特长随机字符串…… |
 | 22 geekyouth OP ``` > 试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网. ``` @cweijan 本质就是架设 vpn 环境吗?这样会不会导致宽带速率变慢呢,我想在公网上传输数据,网速很快。 |
 | 25 FullBridgeRect 2022-01-04 22:05:19 +08:00 @steptodream 国内运营商只见过管大流量和 http 服务器,其他都没见过管 |
 | 26 emberzhang 2022-01-04 23:32:54 +08:00 @steptodream 跨境当然不行,侦测协议毫无难度。至于境内到境内的连接怎么可能有闲工夫管你,我用了十年啥事没有。 |
 | 27 crab 2022-01-04 23:53:33 +08:00 别用默认的 3389 端口就能避免不少了,ipsec 上只允许你的 IP 段请求 3389 。 |
 | 28 PatrickLe 2022-01-05 00:58:14 +08:00 我觉得没必要折腾换端口、vpn 什么的,浪费时间 我的就是默认端口 3389 ,开启了转发,用的 Administer 账户,但是我的密码是 1p 生成的 50 位超复杂随机密码,用了大半年了,每天 24 小时被扫,也没出问题 密码复杂程度差不多就是这样:fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E 等到爆破估计得天荒地老吧 |
 | 29 Showfom PRO  1 |
 | 30 happy61 2022-01-05 01:18:09 +08:00 之前有看过 windows Hello 企业版,但是配置极为复杂。。所以就没研究下去,我也想知道,为自己的 RDP 服务,多一层保障 |
| 31 happy61 2022-01-05 01:24:02 +08:00 |
 | 32 zyqv2 2022-01-05 08:44:08 +08:00 via Android 复杂密码+安全组设置密码错误多少次不让重试,或者 Windows 关闭远程 3389 ,开启 openssh server ,只允许秘钥登录,ssh 通道 rdp ,再就是 wireguard 咯 |
Select Language