V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ungrownxiaohao
V2EX  ›  宽带症候群

Windows 远程桌面 RDP 开启后,默认的防火墙入站规则是允许来自任何网络(包括域、专用和公用),是否应该去掉对“公共网络”的允许?

  •  
  •   ungrownxiaohao · 27 天前 · 1314 次点击
    在“高级安全 Windows Defender 防火墙”中可以看到 3 个名称以“远程桌面”开头的入站规则,它们的“配置文件”都是“所有”,也就是:域+专用+公用。如果把公用去掉,合不合适呢,是否是多此一举呢?

    乍一想,就算多此一举,似乎也并无坏处,无非是把远程桌面的入站规则限制得更紧了。但是再多想一下,又觉得没这么简单:原本公用网络也能进入远程桌面端口,并不非得是受信任的网络;而如果公用网络不再被允许,那就必须将网络从公用改成专用,这反而增加了在网络上的暴露程度。

    于是就有两难的选择:
    - 公用网络下,远程桌面也能被其他设备访问,但相对的,不需要暴露更多其他端口,因为很多其他端口并不像远程桌面那样默认会允许公用网络。
    - 公用网络下,远程桌面无法被访问,除非把网络改成受信任的类型,比如专用网络,但这样反而让很多其他端口也跟着一起被允许访问了。

    ---

    医生:你这种症状持续多久了
    18 条回复    2024-12-05 09:08:07 +08:00
    NewYear
        1
    NewYear  
       27 天前
    年龄大了就不想折腾了。

    以前各种停服务、精简进程,现在很久很久很久都没有看过启动项了,昨天看到个陌生进程还茫然,仔细一看才知道没有出问题。

    远程桌面怕不安全可以设计一个安全机制动态开启,安全又方便。
    ungrownxiaohao
        2
    ungrownxiaohao  
    OP
       27 天前
    @NewYear #1 就是需要用的时候再临时开启,用完就关掉的意思吗?
    yuchenr
        3
    yuchenr  
       27 天前
    域、专用、公用 是根据你的网络环境启用的三个不同的防火墙配置文件。
    如果你有 IPv6 、或者上游允许所有 IPv6 入站。那就可以考虑使用公用。
    ungrownxiaohao
        4
    ungrownxiaohao  
    OP
       27 天前
    @yuchenr #3 或者说,如果有 v6 但不希望 rdp 通过 v6 暴露到外网的话,可以去掉公用这个配置
    NewYear
        5
    NewYear  
       27 天前
    @ungrownxiaohao

    Linux 有个敲门开端口的技术,平时是关闭端口的,需要连接的时候再敲服务器的门,自动开启。Windows 其实也可以,但是要自己去摸索搞。
    peasant
        6
    peasant  
       27 天前
    与其纠结这些,不如换个带防火墙的路由器,内网设备裸奔都行,路由器防火墙设置好就可以了。
    laminux29
        7
    laminux29  
       27 天前
    Windows 防火墙的高级里,默认的一条规则,会有 3 个重复项目,分别是:公用、域、专用。

    建议做法是,任选两条,保持灰色的禁用状态;最后一条,把公用、域、专用,都勾选,然后启用。

    接着在这条规则的作用域 -> 远程 IP 地址,在这里填入允许的白名单。注意填写方式:

    仅允许 1.2.3.4 这一个 IP 访问本机远程桌面:
    1.2.3.4/32

    允许 192.168.0.1 - 255 整个段访问本机远程桌面:
    192.168.0.0/24
    ranaanna
        8
    ranaanna  
       27 天前   ❤️ 1
    op 想多了。这三个网络并不是可以选择的,是 winodes 根据所处网络自行激活其中的一个,例如如果 windows 加入了某个域,激活的防火墙规则的集合就是“域”。如果不想电脑在公用网络下允许某规则,不点选这条规则即可。在公用网络下不通过一些手段(比如 vpn )是不可能把网络类型改成专用的。所以实际上没有 OP 所说的问题
    ungrownxiaohao
        9
    ungrownxiaohao  
    OP
       27 天前
    @ranaanna #8 我纠结的两难,就是不管选哪个都有不同的利弊
    ranaanna
        10
    ranaanna  
       27 天前   ❤️ 1
    @ungrownxiaohao 这没什么好两难的。如果 windows 加入了域,那么没得选只有“域”。如果接入的是自家网络,那么在第一次接入的时候选“专有”。如果是例如带到外面的笔记本连公共 wifi ,或者接入校园网这样的大型公共网络,那么就选“公用”。很多软件在安装或初次运行的时候会创建防火墙规则,提供这 3 中网络类型下默认的规则。所以完全没有必要去掉。如果不希望在公共网络下允许远程桌面,disable 相应的规则即可,这样就不会影响在专有网络下的使用
    ranaanna
        11
    ranaanna  
       27 天前   ❤️ 1
    @ungrownxiaohao 其实很简单的。除非是加入了域,windows 在第一次接入某网络是会提示让用户选择“专用”还是“公用”,如果选择专用,那么就应用“专用”的防火墙规则,公用也是一样。所以只是不同防火墙规则的集合,视加入的网络而定,没什么好两难的
    Int100
        12
    Int100  
       26 天前 via iPhone   ❤️ 1
    需要远程连接一律走 vpn
    ungrownxiaohao
        13
    ungrownxiaohao  
    OP
       26 天前
    @ranaanna #10 你完全没看我在帖子里说的矛盾点,你的回答不在我关心的重点上
    deepbytes
        14
    deepbytes  
       26 天前 via iPhone
    OP 这是公司的环境?如果是个人环境的话,我倒是有个人的最佳实践(安全向)
    ungrownxiaohao
        15
    ungrownxiaohao  
    OP
       26 天前
    @deepbytes #14 个人用。公司的话,我倒是认为直接上 VPN ,正如评论里有人指出的,毕竟这也是微软针对企业客户所设想的使用场景。
    ShareDuck
        16
    ShareDuck  
       26 天前
    @ranaanna #8 说得很清晰,实际只有一套规则在生效。
    1014982466
        17
    1014982466  
       26 天前
    你没公网 IP 真没谁无聊到会去破你的 RDP ,又不是 SSH 。我都是防火墙直接关了,RDP 改个端口,自己的账户名和密码,你天王老子来了也黑不进来啊
    deepbytes
        18
    deepbytes  
       25 天前 via iPhone   ❤️ 1
    @ungrownxiaohao @ungrownxiaohao 公司必然 VPN ,合规。个人环境的话,如#2 所说,我自用方案,可以实现用的时候临时启用,不用的时候 rdp 端口也不会暴露公网,安全性拉满,以下供 op 参考:
    场景:公网环境—>SSH 隧道-->VPS—>家里 win11 ,家里无公网 IP
    1 、前提:距离自己近的 VPS ,我的在香港,因为人在深圳,相当于同城,延迟低,带宽大,免备案
    2 、NPS 、NPC 部署在家里 pve 里面的一台 ubuntu 中,同网段的机器都可以用内网穿透,这里主要是用来穿透 win11
    3 、配置 NPS 的 TCP tunnel 到家里 win11 ,开放 VPS 端口 60000 映射修改后的 win11 RDP 端口 60000
    4 、VPS 最小化开放端口,仅放开 ssh ,和 NPS 客户端认证用的接口 8024 ,80 、443 端口不放开(原因是仅自用,索性不需要 ssl 证书,直接 http ),配置 macOS 到 VPS 的 ssh 隧道,用 alias 和 ssh config 实现自定义一键启动隧道,VPS 常规安全加固,仅仅允许密钥登陆,隧道用户与主用户隔离,隧道用户仅允许端口转发,不允许调用 shell 执行命令
    5 、ssh 隧道配置 2 个,一个用于转发 RDP ,一个用于访问 NPS 管理界面( VPS 中对应端口用 ufw 主动 deny ,实现公网敏感端口零暴露,当且仅当我主动连接时,对我可用,因为 ssh 隧道可绕过防火墙)
    6 、更进一步,最近在玩 yubikey ,生成密钥对时,用-so 参数,实现 FIDO2 认证,私钥存在硬件密钥中,理论上无被动泄漏可能,防止意外,我准备了 2 个硬件密钥,用于 backup

    以上,完全实现想开就开连接家里内网,win11 浏览器管理家里各种服务,不需要折腾各种 RDP 微软自带规则,全部自己控制,然后在另一台 vps 搭建 rustdesk 远程兜底
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1089 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 19:06 · PVG 03:06 · LAX 11:06 · JFK 14:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.