老貓在「隨時遠端連線到自己電腦，Windows 10 「遠端桌面」連線設定」介紹了該如何分享使用電腦開遠端桌面，透過Windows 10內建的功能就能開啟這項便利功能，也因此可能讓其他有心人士來進行入侵。這部分老貓會陸續介紹防範的方式，提高電腦的安全性，本篇會從電腦系統設定限制連入的IP，讓非指定的電腦是無法進行遠端連線。

提高Windows 10 遠端桌面安全性，降低被入侵可能性

當有開啟遠端桌面連線功能時，可以從另一台電腦測試遠端連線，就會發現本機端的畫面會閃一下。換句話說，當你的畫面會閃爍，有可能不是電腦系統、顯示卡等問題，而是你開啟了遠端桌面連線程式。如果是自己使用可能沒注意，但若你有看老貓介紹如何讓Windows 10支援多人同時登入的話(參考文章：Windows 10 開啟多人同時遠端桌面連線，最新1903、1909版適用)，可能會發現這些細節。因此如果你的畫面常一直在閃爍，但又不是自己人在遠端桌面時，這代表有其他有心人士正在嘗試登入你的電腦！

老貓對於Windows 10來說，都會建議有任何的更新都盡量更新，讓電腦系統保持最新狀況，避免有其他安全性問題。但是，也有可能因為更新造成系統其他功能故障，不過相較之下，還是建議更新可能會比較安全一些。在「隨時遠端連線到自己電腦，Windows 10 「遠端桌面」連線設定」有分享到開分享很容易，但如果密碼沒有設定太複雜，反而可能容易被入侵。

被入侵後可能被盜取電腦相關機密內容，甚至中了勒索病毒。但也別以為被入侵後只有自己的電腦會出問題，因為如果是駭客入侵的話，他也有可能會嘗試入侵其他台電腦，帶來其他危險性。由於安全性很重要，因此老貓在每篇遠端桌面連線文章，都會放入此章節內容。

在安全防護來說，老貓也會分享一些小技巧，降低被入侵的可能性。在此老貓說「降低」是因為網路的高手許多，很難百分之百預防。在網路上來說，只要多一分安全就會提高入侵的困難度，讓這些高手放棄入侵。這些與我們日常生活中門鎖的防盜差不多，只要比其他家防護多一些就能降低入侵的可以性。可以參考老貓提出的其他方式，也有分享一些優缺點，建議達到越多項越好：

• 有需要使用時才開啟，其他時段關閉Windows 10遠端桌面連線。
  • 優點：不用遠端時不擔心被嘗試入侵。
  • 缺點：需要請同事、室友手動開啟。

• 設定更為複雜密碼，密碼最好擁有大小寫英文、數字、特殊字元，且越多位數並無規則最好。尤其密碼不要設定與帳號相同，這可能一猜就直接中。
  • 優點：暴力破解需要更久的時間。
  • 缺點：密碼太複雜自己不容易記憶。

• 安裝防毒軟體，增加破解的困難度。若可以設定需要密碼才能移除的防毒軟體最佳，但要記得密碼。
  • 優點：可以防護單純攻擊的一般駭客。
  • 缺點：仍有一定機率被手動移除，但有可能要花費更多時間，讓駭客放棄入侵執行勒索病毒。

• 盡量不要使用公用電腦或非自己的電腦登入，避免留下記錄。參考文章：只要一鍵！自動從登錄檔刪除 Windows 10 遠端桌面連線相關IP歷史記錄、刪除 Windows 10 遠端桌面連線認證記錄，完整刪除遠端桌面連線資訊。
  • 優點：不隨意在其他電腦上留下IP、網址，甚至遠端桌面密碼等相關記錄。
  • 缺點：要隨時攜帶自己或自己能信任的電腦。

• 更改預設遠端桌面連接埠3389，參考文章：3種方式，變更Windows 10 遠端桌面連線預設 「TCP 3389」連接埠。
  • 優點：遠端桌面連線最基本安全防護措施。
  • 缺點：需要進行路由器，或更改登錄檔。

• 只限定允許的IP才可以連線，參考文章：限制特定IP連入電腦，提高Windows 10 遠端桌面連接安全性
  • 優點：不是指定的特定區域，從外頭無法順利連接。
  • 缺點：如果不是在指定區域，便無法遠端登入，常在不同地方或使用電信業者的網路皆無法連線。

• 不設定路由器轉Port，透過VPN連線遠端桌面。(文章尚未撰寫)
  • 優點：路由器不用設定，降低外在的直接攻擊。
  • 缺點：設定VPN較為複雜，且連線前都要先接通VPN。

• 密碼輸入錯誤太多次，直接關閉帳號登入安全性。(文章尚未撰寫)
  • 優點：在密碼設定複雜的前提下，降低暴力破解的可能性。
  • 缺點：如果被鎖，該帳號無法自行解鎖。

• 非指定的電腦主機，立即登出遠端連線。(文章尚未撰寫)
  • 優點：可以限定特定電腦登入，非指定電腦一登入後立即登出。
  • 缺點：無法支援臨時有新電腦登入。

• 關閉遠端電腦的剪貼簿功能，即從本機端與遠端兩邊的剪貼部互通。(文章尚未撰寫)
  • 優點：讓趕時間的入侵使用者，轉往攻擊其他台電腦。
  • 缺點：有心的話，入侵駭客還是可能手動開啟。不過會讓真正使用遠端桌面的使用者，無法使用這項功能。

從 Windows 10 軟體防火牆限定連入的IP

由於開啟遠端桌面連線後，也是將自己的電腦公布在網路上，就有機會被嘗試入侵。透過限定IP的方式，只要不是我們設定的IP來源，就無法連線進來。如果你的遠端電腦若是位於公司、家裡等固定場所，可以詢問是否能申請固定IP，若你是使用中華電信網路，可以參考：中華電信 Hinet 光世代免費申請固定IP，架站更容易。只要是從公司、家裡進行連線就開放，若不是通通禁止。

同樣的想法，這部份子可以從硬體防火牆來設定，不過此篇文章分享的是以Windows 10軟體系統來進行設定，比較符合大家需求助。首先先開啟用Windows 10內建的「具有進階安全性的Windows Defender防火牆」，由於這是針對由外連進來的IP進行判斷，因此請點選「輸入規則」。接下來找到「遠端桌面 – 使用者模式(TCP-in)」裡的進階，下方會有「遠端IP位址」選項，預設為任何IP，即任何地方都能連線進來使用。在此開始設定特定IP，可以選擇獨立的單一IP位址，或者是設定IP範圍，這些在設定區網操作時會比較容易。

當設定好後點選確定，只要不是從列表上的IP來進來的話，是無法進行遠端桌面連線。這些對於有在使用固定IP的電腦區域，在操作上沒有任何影響而且更為安全。但缺點就是當在其他公司、咖啡店等其他公眾場所，由於不在其IP列表中，因此無法直接連回來操作。在連線上雖然安全，但也較為複雜一些。對於後者問題的解法，是可以透過VPN來解決，不過這就屬於比較進階，之後有機會再來分享。如果你的網路環境許可，光是限制連入IP的操作方式，就能擋下許多惡意的入侵連線。不過這當然不是百分之百，也不要以為完成這件事就完全沒問題了。

▼ 點選電腦的「Windows設定」後，點選左下角「更新與安全性」。

▼ 點選左側的「Windows 安全性」後，再點選右側的「防火牆與網路防護」。

▼ 在「防火牆與網路防護」的下方，點選「進階設定」。

▼ 接下來就會出現「具有進階安全性的Windows Defender防火牆」，這在之前我們設定其他port時也有進行操作過。

▼ 點選「輸入規則」後，尋找「遠端桌面 – 使用者模式(TCP-in)」後開啟。

▼ 點選「進階」選項。

▼ 在「進階」選項中，針對「遠端IP位址」的設定更改為「這些IP位址」後，點選右側的「新增」。

▼ 接下來只要輸入遠端電腦的IP位址即可。

▼ 如果要輸入一段區域的IP範圍也沒關係，這對於區網連線來說設定很方便。

▼ 當設定完後，直接點選確定即可。

▼ 以老貓的習慣來說，只會設定一些固定IP。

▼ 如果之後有臨時需求要開放給其他電腦連線，可以先暫時關閉IP管制，但建議完成後回來馬上開啟比較安全。