Windows RDP 服务器的安全性,取决于你加固它的那一天——本指南将带你从一台全新主机,搭建出一台真正可以信赖的、锁定严密的离岸远程桌面。
远程桌面协议(RDP)是随时随地运行完整 Windows 环境最快捷的方式,但它也是互联网上被扫描最频繁的服务之一。默认配置在带来便利的同时,同样带来了危险。
本指南涵盖真正重要的工作:Windows RDP 的初始搭建、能够真正阻止暴力破解和漏洞利用的设置,以及如何让整个流程——从开通到日常使用——都保持离岸状态。
你到底在搭建什么
RDP 内置于每个 Windows Server 版本以及 Windows Pro 中。它默认通过 TCP 3389 端口暴露图形化桌面,其安全性完全取决于你所配置(或未能配置)的凭据和网络规则。
协议本身
RDP 通过加密通道传输桌面画面和输入操作。但加密本身并不能对客户端进行身份验证——这正是 NLA 的作用。
风险所在
3389 端口持续遭到大规模扫描。一台密码薄弱且暴露在外的服务器,可能在数小时内(而非数周内)就被攻破。
目标
一台只有你能访问、在桌面加载前就完成身份验证、且与你的真实身份毫无关联的服务器。
第一步——正确启用并配置 RDP
- 1
启用远程桌面
进入“系统 > 远程桌面”,将其开启。或者运行等效的 PowerShell 命令:在 Terminal Server 注册表项中将 fDenyTSConnections 设为 0。
- 2
启用网络级别身份验证(NLA)
开启 NLA,使客户端必须在创建会话之前完成身份验证。仅此一项就能阻止一大类预身份验证攻击。
- 3
创建专用管理员账户
切勿使用内置的 Administrator 账户运行 RDP。创建一个具名账户,为其设置一个长口令,并且只将该账户添加到“远程桌面用户”组中。
- 4
禁用默认的 Administrator 账户
重命名或禁用内置的 Administrator 账户,以免自动化工具针对这个已知用户名发起攻击。
NLA 是这份清单中价值最高的单项设置。如果你的客户端不支持 NLA,应该修复客户端,而不是在服务器端禁用它。
第二步——锁定网络路径
大多数 RDP 入侵事件并非源于巧妙的漏洞利用,而是针对一个向整个互联网开放的端口发起的凭据攻击。首先要做的,就是缩小这一暴露面。
- 将监听端口改为 3389 以外的端口——这能阻挡大部分自动化扫描器,但这只是一种混淆手段,并非真正的安全防护。
- 如果你有固定的连接源 IP,请将 Windows 防火墙的 RDP 规则限制到该特定源 IP。
- 更好的做法是完全不将 RDP 暴露在公共互联网上——通过 VPN 或 WireGuard 接口进行隧道传输,并将 3389 端口的防火墙规则限制为仅允许该接口访问。
- 对于任何不需要交互式登录的服务器,应彻底禁用 RDP。
警告:更改端口对于针对性攻击者而言只是表面功夫。请将其与 IP 白名单或 VPN 结合使用——切勿把非标准端口当作安全边界。
第三步——强化身份验证
应假定攻击者迟早会找到这个端口。下一道防线,就是让凭据难以猜测、也难以被暴力破解。
长口令
使用 20 个字符以上的随机口令,而不是看似巧妙的密码。面对现代破解手段,长度胜过复杂度。
账户锁定策略
设置锁定阈值,使多次失败尝试后账户会被冻结一段时间。这会让暴力破解反过来拖慢攻击者自己的进度。
限制 RDP 用户
只有“远程桌面用户”组中的账户才能登录。请尽可能让该组保持最小规模——最好只有一个账户。
增加第二重身份验证
在工作流程允许的情况下,在 RDP 前面叠加一层多因素身份验证(MFA)方案,或证书/网关。仅靠密码是一个单点故障。
第四步——打补丁、记录日志并持续监控
RDP 历史上出现过多起严重的预身份验证漏洞。无论密码有多强,未打补丁的服务器都可能被利用。
- 保持 Windows Update 及时更新——最严重的 RDP CVE 漏洞都具有蠕虫式传播能力,并且早在被大规模利用之前就已发布补丁。
- 启用登录事件审计,这样你就能在“安全”事件日志中看到失败和成功的登录记录。
- 定期查看事件 ID 4625(登录失败)和 4624(登录成功)——4625 事件激增,说明你正在被探测。
- 可以考虑使用一款在多次失败后自动封禁 IP 的工具,以削弱持续性的暴力破解攻击。
让它保持离岸
加固保护的是服务器,隐私保护的是你自己。这是两个不同的问题,而大多数 RDP 教程完全忽略了第二个问题。
隐私从开通那一刻开始
隐私无法事后补上。如果服务器是用你的真实姓名、邮箱和银行卡订购的,那么这台主机在技术上或许已经加固,但在个人身份上依然是暴露的。身份痕迹在你付款的那一刻就已经留下。
- 通过一家开通服务器无需 KYC 或个人身份验证的主机商进行开通。
- 使用预付费的加密货币余额付款,而不是使用与你姓名绑定的银行卡——尤其是 Monero,它不会在公共账本上留下任何痕迹。
- 为该账户使用一个专用的邮箱别名,而不是你的主邮箱。
- 通过 VPN 或对 Tor 友好的路径连接到搭建完成的服务器,确保接触 3389 端口的永远不是你的真实 IP。
这正是 ChainVPS 所秉持的模式。我们的离岸 RDP 服务器开通无需 KYC,并可使用涵盖 21 种加密货币(包括 Monero)的预付费余额付款,因此这台机器永远不会与现实世界的身份产生关联——当前的 Windows 配置详情请见 /offshore-rdp 页面。
关键要点:即便是一台安全的 RDP 服务器,只要是用你的真实身份订购的,依然是一项隐私隐患。隐私是一项开通阶段的决策,而不是搭建完成后勾选的一个选项。
选择服务器所在的位置
对于以隐私为先的部署而言,司法管辖区与配置同样重要。一台位于数据保护严格、且不存在过度数据留存要求地区的服务器,明显更难被强制取证。
选择瑞士或冰岛这样的隐私优选地区,能让上述技术加固措施与一个尊重隐私的法律环境相辅相成。对于负载更重的交互式工作,同样的离岸模式也延伸到了我们的独立服务器和 GPU 服务器上。
上线前的严谨检查清单
- 已启用并强制执行 NLA。
- 内置 Administrator 账户已禁用;“远程桌面用户”组中仅有一个具名账户。
- RDP 未暴露在公共互联网上——使用 VPN、IP 白名单,或两者兼用。
- 长随机口令,配合账户锁定策略。
- Windows 已完全打补丁,登录审计已开启。
- 服务器开通无需 KYC,并使用预付费加密货币余额付款。
把 RDP 端口从 3389 改掉,这样就足够安全了吗?
不够。这样做能让你避开无差别扫描,但对会扫描所有端口的针对性攻击者毫无作用。应将其视为一种降噪手段,并结合 NLA、IP 限制或 VPN,以及强有力的账户锁定策略一起使用。
什么是网络级别身份验证(NLA),它为什么重要?
NLA 强制客户端在 Windows 创建桌面会话之前完成身份验证。这能阻止一大类预身份验证攻击,并减少攻击者可消耗的资源,因此绝不应将其关闭。
RDP 服务器真的能做到离岸吗?
可以,但前提是隐私从开通阶段就已内建。选择无需 KYC 的主机商下单,使用如 Monero 之类的预付费加密货币余额付款,使用邮箱别名,并通过 VPN 连接,确保你的真实 IP 永远不会接触到服务器。
私密 RDP 服务器应该选择哪个地区?
应选择数据保护严格的隐私优选司法管辖区——ChainVPS 在 15 个地区中提供 NL、CH、RO、IS、MD 和 LU。将强有力的法律环境与上述加固步骤相结合,能为你带来最佳的整体安全态势。


