Windows 远程桌面 RDP 开启后,默认的防火墙入站规则是允许来自任何网络(包括域、专用和公用),是否应该去掉对“公共网络”的允许?
ungrownxiaohao · 1 天前 · 757 次点击在“高级安全 Windows Defender 防火墙”中可以看到 3 个名称以“远程桌面”开头的入站规则,它们的“配置文件”都是“所有”,也就是:域+专用+公用。如果把公用去掉,合不合适呢,是否是多此一举呢?
乍一想,就算多此一举,似乎也并无坏处,无非是把远程桌面的入站规则限制得更紧了。但是再多想一下,又觉得没这么简单:原本公用网络也能进入远程桌面端口,并不非得是受信任的网络;而如果公用网络不再被允许,那就必须将网络从公用改成专用,这反而增加了在网络上的暴露程度。
于是就有两难的选择:
- 公用网络下,远程桌面也能被其他设备访问,但相对的,不需要暴露更多其他端口,因为很多其他端口并不像远程桌面那样默认会允许公用网络。
- 公用网络下,远程桌面无法被访问,除非把网络改成受信任的类型,比如专用网络,但这样反而让很多其他端口也跟着一起被允许访问了。
---
医生:你这种症状持续多久了
乍一想,就算多此一举,似乎也并无坏处,无非是把远程桌面的入站规则限制得更紧了。但是再多想一下,又觉得没这么简单:原本公用网络也能进入远程桌面端口,并不非得是受信任的网络;而如果公用网络不再被允许,那就必须将网络从公用改成专用,这反而增加了在网络上的暴露程度。
于是就有两难的选择:
- 公用网络下,远程桌面也能被其他设备访问,但相对的,不需要暴露更多其他端口,因为很多其他端口并不像远程桌面那样默认会允许公用网络。
- 公用网络下,远程桌面无法被访问,除非把网络改成受信任的类型,比如专用网络,但这样反而让很多其他端口也跟着一起被允许访问了。
---
医生:你这种症状持续多久了
16 条回复 • 2024-12-04 09:36:26 +08:00
 |
1
NewYear 1 天前
年龄大了就不想折腾了。
以前各种停服务、精简进程,现在很久很久很久都没有看过启动项了,昨天看到个陌生进程还茫然,仔细一看才知道没有出问题。 远程桌面怕不安全可以设计一个安全机制动态开启,安全又方便。 |
 |
2
ungrownxiaohao OP @NewYear #1 就是需要用的时候再临时开启,用完就关掉的意思吗?
|
 |
3
yuchenr 1 天前
域、专用、公用 是根据你的网络环境启用的三个不同的防火墙配置文件。
如果你有 IPv6 、或者上游允许所有 IPv6 入站。那就可以考虑使用公用。 |
|
4
ungrownxiaohao OP @yuchenr #3 或者说,如果有 v6 但不希望 rdp 通过 v6 暴露到外网的话,可以去掉公用这个配置
|
|
5
NewYear 1 天前
|
 |
6
peasant 23 小时 31 分钟前
与其纠结这些,不如换个带防火墙的路由器,内网设备裸奔都行,路由器防火墙设置好就可以了。
|
 |
7
laminux29 23 小时 0 分钟前
Windows 防火墙的高级里,默认的一条规则,会有 3 个重复项目,分别是:公用、域、专用。
建议做法是,任选两条,保持灰色的禁用状态;最后一条,把公用、域、专用,都勾选,然后启用。 接着在这条规则的作用域 -> 远程 IP 地址,在这里填入允许的白名单。注意填写方式: 仅允许 1.2.3.4 这一个 IP 访问本机远程桌面: 1.2.3.4/32 允许 192.168.0.1 - 255 整个段访问本机远程桌面: 192.168.0.0/24 |
 |
8
ranaanna 22 小时 57 分钟前  1
op 想多了。这三个网络并不是可以选择的,是 winodes 根据所处网络自行激活其中的一个,例如如果 windows 加入了某个域,激活的防火墙规则的集合就是“域”。如果不想电脑在公用网络下允许某规则,不点选这条规则即可。在公用网络下不通过一些手段(比如 vpn )是不可能把网络类型改成专用的。所以实际上没有 OP 所说的问题
|
|
9
ungrownxiaohao OP @ranaanna #8 我纠结的两难,就是不管选哪个都有不同的利弊
|
|
10
ranaanna 19 小时 12 分钟前 1
@ungrownxiaohao 这没什么好两难的。如果 windows 加入了域,那么没得选只有“域”。如果接入的是自家网络,那么在第一次接入的时候选“专有”。如果是例如带到外面的笔记本连公共 wifi ,或者接入校园网这样的大型公共网络,那么就选“公用”。很多软件在安装或初次运行的时候会创建防火墙规则,提供这 3 中网络类型下默认的规则。所以完全没有必要去掉。如果不希望在公共网络下允许远程桌面,disable 相应的规则即可,这样就不会影响在专有网络下的使用
|
|
11
ranaanna 19 小时 5 分钟前 1
@ungrownxiaohao 其实很简单的。除非是加入了域,windows 在第一次接入某网络是会提示让用户选择“专用”还是“公用”,如果选择专用,那么就应用“专用”的防火墙规则,公用也是一样。所以只是不同防火墙规则的集合,视加入的网络而定,没什么好两难的
|
 |
12
Int100 12 小时 52 分钟前 via iPhone 1
需要远程连接一律走 vpn
|
|
13
ungrownxiaohao OP @ranaanna #10 你完全没看我在帖子里说的矛盾点,你的回答不在我关心的重点上
|
 |
14
deepbytes 7 小时 36 分钟前 via iPhone
OP 这是公司的环境?如果是个人环境的话,我倒是有个人的最佳实践(安全向)
|
|
15
ungrownxiaohao OP @deepbytes #14 个人用。公司的话,我倒是认为直接上 VPN ,正如评论里有人指出的,毕竟这也是微软针对企业客户所设想的使用场景。
|
Select Language