公网RDP风险及措施

公网VPS和内网机器做内网穿透，再加上端口映射，可以实现内网机器在公网上直接远程桌面，看着挺爽，实际上风险比较大。

千万不要以为“我小小一个VPS没人知道，谁会光顾”，经测试，公网开放的RDP，不管采用什么端口，平静的日子只有半天到一天，之后就会被扫描软件发现，从而开始旷日持久的RDP密码爆破。这些扫描来自世界各地，半个小时内，光顾的IP最远的有美国、巴西，近的有山东，最近的有宿迁和上海，每秒钟几十至数百次爆破尝试，仅凭VPS防火墙根本屏蔽不过来。

但是设置白名单又很不方便。（这时候是不是有点想念IPv6）

我们常常会在windows主力帐号上设置比较可靠的密码，但有时候因为业务需要，开了一些“原本以为只有内网使用”的帐号，这些帐号的密码非常简单，很容易被RDP蠕虫暴力破解。

防范措施：

1、停用Administrator、Guest帐号。

2、所有启动的windows帐号，使用不少于12位，包括大小写字母、符号的复杂密码。并且不要包含用户名。

3、默认停止VPS端口映射，建议在VPS上写两个bat，一个负责开，一个负责关。用的时候远程到VPS上手动开一下即可，用完即关。