Windows 远程桌面 RDP 开启后,默认的防火墙入站规则是允许来自任何网络(包括域、专用和公用),是否应该去掉对“公共网络”的允许?
ungrownxiaohao · 15 天前 · 1184 次点击在“高级安全 Windows Defender 防火墙”中可以看到 3 个名称以“远程桌面”开头的入站规则,它们的“配置文件”都是“所有”,也就是:域+专用+公用。如果把公用去掉,合不合适呢,是否是多此一举呢?
乍一想,就算多此一举,似乎也并无坏处,无非是把远程桌面的入站规则限制得更紧了。但是再多想一下,又觉得没这么简单:原本公用网络也能进入远程桌面端口,并不非得是受信任的网络;而如果公用网络不再被允许,那就必须将网络从公用改成专用,这反而增加了在网络上的暴露程度。
于是就有两难的选择:
- 公用网络下,远程桌面也能被其他设备访问,但相对的,不需要暴露更多其他端口,因为很多其他端口并不像远程桌面那样默认会允许公用网络。
- 公用网络下,远程桌面无法被访问,除非把网络改成受信任的类型,比如专用网络,但这样反而让很多其他端口也跟着一起被允许访问了。
---
医生:你这种症状持续多久了
乍一想,就算多此一举,似乎也并无坏处,无非是把远程桌面的入站规则限制得更紧了。但是再多想一下,又觉得没这么简单:原本公用网络也能进入远程桌面端口,并不非得是受信任的网络;而如果公用网络不再被允许,那就必须将网络从公用改成专用,这反而增加了在网络上的暴露程度。
于是就有两难的选择:
- 公用网络下,远程桌面也能被其他设备访问,但相对的,不需要暴露更多其他端口,因为很多其他端口并不像远程桌面那样默认会允许公用网络。
- 公用网络下,远程桌面无法被访问,除非把网络改成受信任的类型,比如专用网络,但这样反而让很多其他端口也跟着一起被允许访问了。
---
医生:你这种症状持续多久了
18 条回复 • 2024-12-05 09:08:07 +08:00
 |
1
NewYear 15 天前
年龄大了就不想折腾了。
以前各种停服务、精简进程,现在很久很久很久都没有看过启动项了,昨天看到个陌生进程还茫然,仔细一看才知道没有出问题。 远程桌面怕不安全可以设计一个安全机制动态开启,安全又方便。 |
 |
2
ungrownxiaohao OP @NewYear #1 就是需要用的时候再临时开启,用完就关掉的意思吗?
|
 |
3
yuchenr 15 天前
域、专用、公用 是根据你的网络环境启用的三个不同的防火墙配置文件。
如果你有 IPv6 、或者上游允许所有 IPv6 入站。那就可以考虑使用公用。 |
|
4
ungrownxiaohao OP @yuchenr #3 或者说,如果有 v6 但不希望 rdp 通过 v6 暴露到外网的话,可以去掉公用这个配置
|
|
5
NewYear 15 天前
|
 |
6
peasant 15 天前
与其纠结这些,不如换个带防火墙的路由器,内网设备裸奔都行,路由器防火墙设置好就可以了。
|
 |
7
laminux29 15 天前
Windows 防火墙的高级里,默认的一条规则,会有 3 个重复项目,分别是:公用、域、专用。
建议做法是,任选两条,保持灰色的禁用状态;最后一条,把公用、域、专用,都勾选,然后启用。 接着在这条规则的作用域 -> 远程 IP 地址,在这里填入允许的白名单。注意填写方式: 仅允许 1.2.3.4 这一个 IP 访问本机远程桌面: 1.2.3.4/32 允许 192.168.0.1 - 255 整个段访问本机远程桌面: 192.168.0.0/24 |
 |
8
ranaanna 15 天前  1
op 想多了。这三个网络并不是可以选择的,是 winodes 根据所处网络自行激活其中的一个,例如如果 windows 加入了某个域,激活的防火墙规则的集合就是“域”。如果不想电脑在公用网络下允许某规则,不点选这条规则即可。在公用网络下不通过一些手段(比如 vpn )是不可能把网络类型改成专用的。所以实际上没有 OP 所说的问题
|
|
9
ungrownxiaohao OP @ranaanna #8 我纠结的两难,就是不管选哪个都有不同的利弊
|
|
10
ranaanna 14 天前 1
@ungrownxiaohao 这没什么好两难的。如果 windows 加入了域,那么没得选只有“域”。如果接入的是自家网络,那么在第一次接入的时候选“专有”。如果是例如带到外面的笔记本连公共 wifi ,或者接入校园网这样的大型公共网络,那么就选“公用”。很多软件在安装或初次运行的时候会创建防火墙规则,提供这 3 中网络类型下默认的规则。所以完全没有必要去掉。如果不希望在公共网络下允许远程桌面,disable 相应的规则即可,这样就不会影响在专有网络下的使用
|
|
11
ranaanna 14 天前 1
@ungrownxiaohao 其实很简单的。除非是加入了域,windows 在第一次接入某网络是会提示让用户选择“专用”还是“公用”,如果选择专用,那么就应用“专用”的防火墙规则,公用也是一样。所以只是不同防火墙规则的集合,视加入的网络而定,没什么好两难的
|
 |
12
Int100 14 天前 via iPhone 1
需要远程连接一律走 vpn
|
|
13
ungrownxiaohao OP @ranaanna #10 你完全没看我在帖子里说的矛盾点,你的回答不在我关心的重点上
|
 |
14
deepbytes 14 天前 via iPhone
OP 这是公司的环境?如果是个人环境的话,我倒是有个人的最佳实践(安全向)
|
|
15
ungrownxiaohao OP @deepbytes #14 个人用。公司的话,我倒是认为直接上 VPN ,正如评论里有人指出的,毕竟这也是微软针对企业客户所设想的使用场景。
|
 |
17
1014982466 13 天前
你没公网 IP 真没谁无聊到会去破你的 RDP ,又不是 SSH 。我都是防火墙直接关了,RDP 改个端口,自己的账户名和密码,你天王老子来了也黑不进来啊
|
|
18
deepbytes 13 天前 via iPhone 1
@ungrownxiaohao @ungrownxiaohao 公司必然 VPN ,合规。个人环境的话,如#2 所说,我自用方案,可以实现用的时候临时启用,不用的时候 rdp 端口也不会暴露公网,安全性拉满,以下供 op 参考:
场景:公网环境—>SSH 隧道-->VPS—>家里 win11 ,家里无公网 IP 1 、前提:距离自己近的 VPS ,我的在香港,因为人在深圳,相当于同城,延迟低,带宽大,免备案 2 、NPS 、NPC 部署在家里 pve 里面的一台 ubuntu 中,同网段的机器都可以用内网穿透,这里主要是用来穿透 win11 3 、配置 NPS 的 TCP tunnel 到家里 win11 ,开放 VPS 端口 60000 映射修改后的 win11 RDP 端口 60000 4 、VPS 最小化开放端口,仅放开 ssh ,和 NPS 客户端认证用的接口 8024 ,80 、443 端口不放开(原因是仅自用,索性不需要 ssl 证书,直接 http ),配置 macOS 到 VPS 的 ssh 隧道,用 alias 和 ssh config 实现自定义一键启动隧道,VPS 常规安全加固,仅仅允许密钥登陆,隧道用户与主用户隔离,隧道用户仅允许端口转发,不允许调用 shell 执行命令 5 、ssh 隧道配置 2 个,一个用于转发 RDP ,一个用于访问 NPS 管理界面( VPS 中对应端口用 ufw 主动 deny ,实现公网敏感端口零暴露,当且仅当我主动连接时,对我可用,因为 ssh 隧道可绕过防火墙) 6 、更进一步,最近在玩 yubikey ,生成密钥对时,用-so 参数,实现 FIDO2 认证,私钥存在硬件密钥中,理论上无被动泄漏可能,防止意外,我准备了 2 个硬件密钥,用于 backup 以上,完全实现想开就开连接家里内网,win11 浏览器管理家里各种服务,不需要折腾各种 RDP 微软自带规则,全部自己控制,然后在另一台 vps 搭建 rustdesk 远程兜底 |
Select Language