@opentrade #17 自己搭中心服务器这个玩法,没看到文档介绍啊

2002 年时候，那时候我还用 WINDOWS，就知道给 RDP 协议改端口并套一个 windows 自带的 IPSEC

安全原则第一条： 再安全的内部服务（比如 SSH，包括 RDP ）绝对不直接暴露在公网上。

标准做法是使用 VPN，VPN 可以上双因素认证等方法。

@dbpe 可以自己搭中心服务器

@opentrade 这玩意和 anydesk 优势是什么

@Jat001 基本都会有 nonce 防范中间人攻击。

@lithiumii 对，端口转发工具很多，AnyDesk/Teamviewer 都可以轻松实现。[RustDesk]( https://github.com/rustdesk/rustdesk)的 RDP 连接也是基于端口转发的。

@Acoffice 大部分情况是 TCP 打洞直连，取决于双方网关类型。打不通，就只能中转，那就慢了，它在国内没有中转服务器。

@hronro 才开源 2 天，star 得慢慢攒

默认端口肯定是要改的，补丁打到最新没啥问题

RDP 的不安全主要是用法不安全，公网默认端口开放搭配常见用户名和弱密码，不被攻破都难。
就算是强密码，由于自动爆破脚本太多，收一堆登录失败的日志也很烦。
所以关键就是不该开端口（ VPN 、虚拟内网、端口转发等等随便你），至少改掉默认端口。

RDP 的安全性我个人觉得是没有什么问题的。

传输安全方面，RDP 允许强制要求 TLS 。
虽然组策略中写的是 SSL，但是实际上只要操作系统支持那就是 TLS 1.2
MS 的文档中有详细的说明：
https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/incorrect-tls-use-rdp-with-ssl-encryption

协议本身如果已经安装了最新的补丁（系统更新）那么目前是没有已知 0day 可以突破的，只要勤做系统更新服务本身的安全性也是可以保证的。剩下的无非就是要设定强密码，建议更改默认端口等辅助手段了，只要做好这些我认为是没有什么安全方面的问题。

当然，如果使用 Bitvise 或者 SSH 包裹之类的方法增强安全性也不是不行，这个看自己的取舍了。

@opentrade #3 速度很快啊,它这个是什么原理?也是服务器中转吗?

@opentrade 才 100 多 stars，不敢用啊

bitvise ？给 rdp 套上 ssh

翻译得真烂，还是好多年前的，这种三手文章还是别看了。

TLS 最高支持 1.2，1.3 还没加入。

就算是 ssh，当你第一次连接 ssh 服务器时，由于你不知道服务器的公钥，所以也没法确定你连上的服务器是真的，如果是假的服务器，而你又用密码验证的话，那你的密码也会泄露，所以请使用证书验证。

但问题是中间人攻击多麻烦啊，被中间人攻击了说明从你家到服务器间的网络至少有一处被攻破了，你觉得是运营商的网络被攻破的可能性大，还是你家或者公网的机器被攻破的可能性大？与其想着中间人攻击，倒不如加强公网机器的防范措施

是阿里云么，是的话可以在安全组中限制 3389 端口的入方向 IP，只允许你的 IP 能远程连接就行。

推荐 https://github.com/rustdesk/rustdesk

被 3389 勒索木马害惨了

建议防火墙禁了 3389，套一层 VPN 再连