V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
geekyouth
V2EX  ›  Windows

Win10 通过微软账号远程桌面登录,如何开启二次认证

  •  
  •   geekyouth · 2022-01-04 11:55:55 +08:00 · 4901 次点击
    这是一个创建于 1047 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经常检测到暴力破解远程桌面的记录,只通过密码来保护远程桌面登录有点慌啊。

    检测到远程桌面暴力破解,攻击者:143.92.*
    检测到远程桌面暴力破解,攻击者:1.255.*
    

    那么 Win10 有没有低成本实现微软账号远程桌面登录二次认证的方案?

    我查过 google ,目前相关的方案是 https://xz.aliyun.com/t/5343 ,通过 Duo Security 来实现本地账号登录,但是不支持微软账号,那么还有别的办法吗?

    33 条回复    2022-01-05 08:47:06 +08:00
    jasonchn
        1
    jasonchn  
       2022-01-04 11:59:14 +08:00 via Android
    都能公网开放 UDP 3389 了 为啥不把桌面放到 OPEN VPN 后边,OPENVPN 基于证书认证 啥攻击都没辙
    geekyouth
        2
    geekyouth  
    OP
       2022-01-04 12:03:26 +08:00
    @jasonchn
    那我还得在远程机器和本地机器都部署 openvpn 节点啊,操作成本有点高啊。
    steptodream
        3
    steptodream  
       2022-01-04 12:08:30 +08:00
    @jasonchn openvpn 在国内大环境下用会不会被河蟹啊,我上半年回国在国内用 openvpn 出境,就一个人用,用了一个多月服务器就被河蟹了。
    yaoyao1128
        4
    yaoyao1128  
       2022-01-04 12:27:35 +08:00 via iPhone
    用过 miniorange 但是不知道现在能不能支持微软账户了……
    yaoyao1128
        5
    yaoyao1128  
       2022-01-04 12:36:11 +08:00 via iPhone
    以及 不打开 administrator 的远程登录 改一下端口 禁止管理员登陆 rdp (只允许普通权限账户登陆 用 uac 控制)可能就不太容易爆破了
    Rache1
        6
    Rache1  
       2022-01-04 12:54:04 +08:00
    之前用过 Duo Security(duo.com) 提供的二次认证,还行
    DTCPSS
        7
    DTCPSS  
       2022-01-04 13:15:34 +08:00
    我把 RDP 放在 SSH 后面,然后转发 3389 端口
    geekyouth
        8
    geekyouth  
    OP
       2022-01-04 13:20:25 +08:00
    @Rache1
    不支持 微软账号远程登录吧?
    cweijan
        9
    cweijan  
       2022-01-04 13:41:04 +08:00
    试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网.
    luzhh
        10
    luzhh  
       2022-01-04 13:48:28 +08:00
    问一下,是通过什么方式检测到的。
    yzc27
        11
    yzc27  
       2022-01-04 13:54:07 +08:00
    我司是把 RDP 放在 Cisco anyconnect 后面,连 Cisco anyconnect 时就有二次认证,所以登 RDP 就直接用账户密码,没额外再来一次二次认证了。
    LANB0
        12
    LANB0  
       2022-01-04 13:57:20 +08:00
    贝锐家的蒲公英可以满足,就是楼上说的异地组网,打洞成功很给力
    forgottencoast
        13
    forgottencoast  
       2022-01-04 15:11:24 +08:00
    看到楼上有人讨论证书,Win10 的远程登陆不也是通过证书的吗?
    所以应该可以从证书方面入手吧?
    yaoyao1128
        14
    yaoyao1128  
       2022-01-04 15:15:26 +08:00 via iPhone
    @forgottencoast 证书可以 不过前提上 ad
    Rache1
        15
    Rache1  
       2022-01-04 16:16:06 +08:00
    @geekyouth 可以呀,我就是用的微软账号登录的
    ysc3839
        16
    ysc3839  
       2022-01-04 16:34:19 +08:00
    @forgottencoast rdp 还是使用用户名密码认证的,虽然 rdp 传输会用 TLS 加密,但是只是服务器有个证书,类似 ssh 的 server key ,服务器不会验证客户端的证书。
    internelp
        17
    internelp  
       2022-01-04 16:40:10 +08:00
    @steptodream 国内到国内,一般不会
    jwwang
        18
    jwwang  
       2022-01-04 16:45:45 +08:00
    @Rache1 楼主发的方案链接说明了用微软账号登录绕过了 2FA
    Rache1
        19
    Rache1  
       2022-01-04 17:19:03 +08:00
    @jwwang 之前也是看这个教程配置的,但是我用着好像没啥问题哇,就即使使用微软账号,他还是会弹那个框,我取消了用微软账号登入,它还是会回到那个二次验证的框框
    remxme
        20
    remxme  
       2022-01-04 17:23:57 +08:00
    防火墙加上 ip 限制
    lonewolfakela
        21
    lonewolfakela  
       2022-01-04 19:10:03 +08:00
    实话说搞这么多麻烦事不如把密码改成一个特长随机字符串……
    geekyouth
        22
    geekyouth  
    OP
       2022-01-04 19:51:42 +08:00
    ```
    > 试下 https://www.tailscale.com/, 在你两台电脑的都安装这个软件, 然后在控制台就可得到一个 ip, 使用这个 ip 连接即可, 这种方式叫做异地组网.
    ```

    @cweijan
    本质就是架设 vpn 环境吗?这样会不会导致宽带速率变慢呢,我想在公网上传输数据,网速很快。
    geekyouth
        23
    geekyouth  
    OP
       2022-01-04 19:54:56 +08:00
    @luzhh
    不吹不黑,360 安全防护中心日志记录就自带了这个功能
    luzhh
        24
    luzhh  
       2022-01-04 20:53:38 +08:00
    @geekyouth 好家伙,那我还是改个复杂点的密码吧。
    FullBridgeRect
        25
    FullBridgeRect  
       2022-01-04 22:05:19 +08:00
    @steptodream 国内运营商只见过管大流量和 http 服务器,其他都没见过管
    emberzhang
        26
    emberzhang  
       2022-01-04 23:32:54 +08:00
    @steptodream 跨境当然不行,侦测协议毫无难度。至于境内到境内的连接怎么可能有闲工夫管你,我用了十年啥事没有。
    crab
        27
    crab  
       2022-01-04 23:53:33 +08:00
    别用默认的 3389 端口就能避免不少了,ipsec 上只允许你的 IP 段请求 3389 。
    PatrickLe
        28
    PatrickLe  
       2022-01-05 00:58:14 +08:00
    我觉得没必要折腾换端口、vpn 什么的,浪费时间
    我的就是默认端口 3389 ,开启了转发,用的 Administer 账户,但是我的密码是 1p 生成的 50 位超复杂随机密码,用了大半年了,每天 24 小时被扫,也没出问题
    密码复杂程度差不多就是这样:fZY~df.m^K~^D8DssZqMply+KBi=z=JTDjhM4!0zu*Sa^^wm(E
    等到爆破估计得天荒地老吧😂
    Showfom
        29
    Showfom  
       2022-01-05 01:08:40 +08:00   ❤️ 1
    happy61
        30
    happy61  
       2022-01-05 01:18:09 +08:00
    之前有看过 windows Hello 企业版,但是配置极为复杂。。所以就没研究下去,我也想知道,为自己的 RDP 服务,多一层保障
    happy61
        31
    happy61  
       2022-01-05 01:24:02 +08:00
    https://github.com/saifsuleman/gatekeeper

    RDP 的代理,先验证 2fa 再链接。。或许也是一个方法
    zyqv2
        32
    zyqv2  
       2022-01-05 08:44:08 +08:00 via Android
    复杂密码+安全组设置密码错误多少次不让重试,或者 Windows 关闭远程 3389 ,开启 openssh server ,只允许秘钥登录,ssh 通道 rdp ,再就是 wireguard 咯
    geekyouth
        33
    geekyouth  
    OP
       2022-01-05 08:47:06 +08:00 via iPhone
    @PatrickLe
    假如你的密码泄露了,这种新闻太多,那么不加二次认证就很危险
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   964 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 22:25 · PVG 06:25 · LAX 14:25 · JFK 17:25
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.