老貓在「隨時遠端連線到自己電腦,Windows 10 「遠端桌面」連線設定」介紹了該如何分享使用電腦開遠端桌面,透過Windows 10內建的功能就能開啟這項便利功能,也因此可能讓其他有心人士來進行入侵。這部分老貓會陸續介紹防範的方式,提高電腦的安全性,本篇會從電腦系統設定限制連入的IP,讓非指定的電腦是無法進行遠端連線。
提高Windows 10 遠端桌面安全性,降低被入侵可能性
當有開啟遠端桌面連線功能時,可以從另一台電腦測試遠端連線,就會發現本機端的畫面會閃一下。換句話說,當你的畫面會閃爍,有可能不是電腦系統、顯示卡等問題,而是你開啟了遠端桌面連線程式。如果是自己使用可能沒注意,但若你有看老貓介紹如何讓Windows 10支援多人同時登入的話(參考文章:Windows 10 開啟多人同時遠端桌面連線,最新1903、1909版適用),可能會發現這些細節。因此如果你的畫面常一直在閃爍,但又不是自己人在遠端桌面時,這代表有其他有心人士正在嘗試登入你的電腦!
老貓對於Windows 10來說,都會建議有任何的更新都盡量更新,讓電腦系統保持最新狀況,避免有其他安全性問題。但是,也有可能因為更新造成系統其他功能故障,不過相較之下,還是建議更新可能會比較安全一些。在「隨時遠端連線到自己電腦,Windows 10 「遠端桌面」連線設定」有分享到開分享很容易,但如果密碼沒有設定太複雜,反而可能容易被入侵。
被入侵後可能被盜取電腦相關機密內容,甚至中了勒索病毒。但也別以為被入侵後只有自己的電腦會出問題,因為如果是駭客入侵的話,他也有可能會嘗試入侵其他台電腦,帶來其他危險性。由於安全性很重要,因此老貓在每篇遠端桌面連線文章,都會放入此章節內容。
在安全防護來說,老貓也會分享一些小技巧,降低被入侵的可能性。在此老貓說「降低」是因為網路的高手許多,很難百分之百預防。在網路上來說,只要多一分安全就會提高入侵的困難度,讓這些高手放棄入侵。這些與我們日常生活中門鎖的防盜差不多,只要比其他家防護多一些就能降低入侵的可以性。可以參考老貓提出的其他方式,也有分享一些優缺點,建議達到越多項越好:
- 有需要使用時才開啟,其他時段關閉Windows 10遠端桌面連線。
- 優點:不用遠端時不擔心被嘗試入侵。
- 缺點:需要請同事、室友手動開啟。
- 設定更為複雜密碼,密碼最好擁有大小寫英文、數字、特殊字元,且越多位數並無規則最好。尤其密碼不要設定與帳號相同,這可能一猜就直接中。
- 優點:暴力破解需要更久的時間。
- 缺點:密碼太複雜自己不容易記憶。
- 安裝防毒軟體,增加破解的困難度。若可以設定需要密碼才能移除的防毒軟體最佳,但要記得密碼。
- 優點:可以防護單純攻擊的一般駭客。
- 缺點:仍有一定機率被手動移除,但有可能要花費更多時間,讓駭客放棄入侵執行勒索病毒。
- 盡量不要使用公用電腦或非自己的電腦登入,避免留下記錄。參考文章:只要一鍵!自動從登錄檔刪除 Windows 10 遠端桌面連線相關IP歷史記錄、刪除 Windows 10 遠端桌面連線認證記錄,完整刪除遠端桌面連線資訊。
- 優點:不隨意在其他電腦上留下IP、網址,甚至遠端桌面密碼等相關記錄。
- 缺點:要隨時攜帶自己或自己能信任的電腦。
- 更改預設遠端桌面連接埠3389,參考文章:3種方式,變更Windows 10 遠端桌面連線預設 「TCP 3389」連接埠。
- 優點:遠端桌面連線最基本安全防護措施。
- 缺點:需要進行路由器,或更改登錄檔。
- 只限定允許的IP才可以連線,參考文章:限制特定IP連入電腦,提高Windows 10 遠端桌面連接安全性
- 優點:不是指定的特定區域,從外頭無法順利連接。
- 缺點:如果不是在指定區域,便無法遠端登入,常在不同地方或使用電信業者的網路皆無法連線。
- 不設定路由器轉Port,透過VPN連線遠端桌面。(文章尚未撰寫)
- 優點:路由器不用設定,降低外在的直接攻擊。
- 缺點:設定VPN較為複雜,且連線前都要先接通VPN。
- 密碼輸入錯誤太多次,直接關閉帳號登入安全性。(文章尚未撰寫)
- 優點:在密碼設定複雜的前提下,降低暴力破解的可能性。
- 缺點:如果被鎖,該帳號無法自行解鎖。
- 非指定的電腦主機,立即登出遠端連線。(文章尚未撰寫)
- 優點:可以限定特定電腦登入,非指定電腦一登入後立即登出。
- 缺點:無法支援臨時有新電腦登入。
- 關閉遠端電腦的剪貼簿功能,即從本機端與遠端兩邊的剪貼部互通。(文章尚未撰寫)
- 優點:讓趕時間的入侵使用者,轉往攻擊其他台電腦。
- 缺點:有心的話,入侵駭客還是可能手動開啟。不過會讓真正使用遠端桌面的使用者,無法使用這項功能。
從 Windows 10 軟體防火牆限定連入的IP
由於開啟遠端桌面連線後,也是將自己的電腦公布在網路上,就有機會被嘗試入侵。透過限定IP的方式,只要不是我們設定的IP來源,就無法連線進來。如果你的遠端電腦若是位於公司、家裡等固定場所,可以詢問是否能申請固定IP,若你是使用中華電信網路,可以參考:中華電信 Hinet 光世代免費申請固定IP,架站更容易。只要是從公司、家裡進行連線就開放,若不是通通禁止。
同樣的想法,這部份子可以從硬體防火牆來設定,不過此篇文章分享的是以Windows 10軟體系統來進行設定,比較符合大家需求助。首先先開啟用Windows 10內建的「具有進階安全性的Windows Defender防火牆」,由於這是針對由外連進來的IP進行判斷,因此請點選「輸入規則」。接下來找到「遠端桌面 – 使用者模式(TCP-in)」裡的進階,下方會有「遠端IP位址」選項,預設為任何IP,即任何地方都能連線進來使用。在此開始設定特定IP,可以選擇獨立的單一IP位址,或者是設定IP範圍,這些在設定區網操作時會比較容易。
當設定好後點選確定,只要不是從列表上的IP來進來的話,是無法進行遠端桌面連線。這些對於有在使用固定IP的電腦區域,在操作上沒有任何影響而且更為安全。但缺點就是當在其他公司、咖啡店等其他公眾場所,由於不在其IP列表中,因此無法直接連回來操作。在連線上雖然安全,但也較為複雜一些。對於後者問題的解法,是可以透過VPN來解決,不過這就屬於比較進階,之後有機會再來分享。如果你的網路環境許可,光是限制連入IP的操作方式,就能擋下許多惡意的入侵連線。不過這當然不是百分之百,也不要以為完成這件事就完全沒問題了。
▼ 點選電腦的「Windows設定」後,點選左下角「更新與安全性」。
▼ 點選左側的「Windows 安全性」後,再點選右側的「防火牆與網路防護」。
▼ 在「防火牆與網路防護」的下方,點選「進階設定」。
▼ 接下來就會出現「具有進階安全性的Windows Defender防火牆」,這在之前我們設定其他port時也有進行操作過。
▼ 點選「輸入規則」後,尋找「遠端桌面 – 使用者模式(TCP-in)」後開啟。
▼ 點選「進階」選項。
▼ 在「進階」選項中,針對「遠端IP位址」的設定更改為「這些IP位址」後,點選右側的「新增」。
▼ 接下來只要輸入遠端電腦的IP位址即可。
▼ 如果要輸入一段區域的IP範圍也沒關係,這對於區網連線來說設定很方便。
▼ 當設定完後,直接點選確定即可。
▼ 以老貓的習慣來說,只會設定一些固定IP。
▼ 如果之後有臨時需求要開放給其他電腦連線,可以先暫時關閉IP管制,但建議完成後回來馬上開啟比較安全。
版主好,我照了的方式設定了只允許某個IP可以連線。
但是測試時發現,我使用名單外的IP去做連線,還是可以成功遠端桌面登入。
請問是哪個部分還有需要設定嗎?