如何提升RDP的安全性

eset360

客户端和服务端都是Windows 11 非server系统 如果两者进行公网访问 有什么提升连接安全性的办法吗？
在此场景下，是否应该启用用网络级别身份验证 (NLA) 呢
在建立一次连接以后 卡巴斯基反网络攻击显示尝试登录破解的用户名由system变为用户名了 是什么原因导致的用户名泄露呢
求助各位大神讨论交流

ddxuchen

我记得可以使用 SSL 证书对 RDP 连接加密的吧​​​

风之咩~

走虚拟隧道 不要把服务直接暴露到公网

ttpcy

SSH+RDP，ssh用公钥认证，只要私钥不泄露，理论安全。

不过我采用的方案是随用随开，需要用的时候，远程开一下路由器的公网端口，连上就可以关了，几乎绝对安全。

其实及时打补丁，改个用户名，配个强口令就可以了，RDP协议只要不是0day没啥机会打进去，最多只有administrator的暴力破解。

黑客才不费劲研究我们这些小目标，真拿0day打，我认了。。但我并不认为我有配的上0day的资料。

zerosu6652

另，可配合WOL（不让端口全时可联）、域控的安全审计（可追溯）

AlphaRabbit

远程桌面（RDP）可以使用智能卡认证（例如使用Yubikey）。
这样的话，安全性等效（甚至超过了）SSH的公钥认证。

Windows 中智能卡登录的工作原理 - Windows Security | Microsoft Learn

同时RDP协议自带TLS加密（TLS 1.0-TLS 1.3），你不需要担心加密问题（但是，RDP连接一般使用自签名证书，这和SSH一样，你得自己肉眼判断自己是否遭遇了中间人攻击）。

你也可以使用IPSec进行额外的身份验证，但我觉得很没必要。

而我个人的话，我个人使用Radmin进行远程连接（Radmin走VNC协议，但是也是有TLS加密，且强度很高）。

Radmin：IT专业人士的可靠远程桌面软件


当然，你说你没那么多钱的话……向日葵/Todesk，启动！（这两款软件的价格很低）。

phyills

1.要最安全的话，还是得V.P.N了。我是十几位密码，高端口号，然后防火墙Ban掉IP，设备用的时候再唤醒。安全性够用了。
2.都是win11，可以打开NLA。
3.没遇到用户名泄露的问题。好几年了，日志里没有出现过我自己的用户名，全部都是guest，admin之类的。