windows远程登录的3389端口也容易被扫描,若管理员账户Administrator启用了远程登录且密码强度不高,比linux系统更容易被黑客攻破。攻破之后一般黑客会部署勒索病毒,把所有文件全部加密,号称限期转账BTC才给解密。
安全加固前两部与linux类似。
1.更改默认的远程登录端口
按下win+r快捷键回车,输入regedit打开注册表编辑器。找到\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp,在右侧找到PortNumber,双击后选择十进制,改到目标端口,建议改为较大值,如33389。系统重启后生效。
2.禁止Administrator远程登录
按下win+r快捷键回车,输入 secpol.msc,然后回车,打开本地安全策略。
从左侧菜单选择 本地策略-用户权限分配,右侧找到 拒绝通过远程桌面服务登录 双击。添加用户和组,高级-立即查找,选择Administrator确定。系统重启后生效。
3.为远程登录添加双因素认证
双因素认证一般使用基于时间的一次性密码算法(Time-based One-time Password algorithm),借助于常用的软件,在登录密码正确的前提下,还需要输入一组6位数动态密码才能登录。
使用开源的双因素认证项目multiOTPCredentialProvider,Github项目链接为https://github.com/multiOTP/multiOTPCredentialProvider,安装包下载链接为https://download.multiotp.net/credential-provider/
在下载页面找到multiOTP Credential Provider for Windows,下载最新版本,目前为5.10.0.1。
在这一步勾选No remote server, local multiOTP only
这一步保持默认选项即可
这一步均选择Only Remote,这里的设置如果选择Local and Remote则本机登录或远程登录时都需要输入OTP。
安装完成后按下win+r快捷键,输入cmd,在命令提示符上点击右键,以管理员身份运行。
打开命令行后,输入cd C:\Program Files\multiOTP 进入multiOTP目录
输入multiotp.exe -fastcreatenopin username并回车,其中username是需要配置双因素认证登录的用户名。
此时,在multiOTP目录的users目录下将生成username.db
继续在命令行输入multiotp.exe -qrcode username username.png并回车。完成之后,在multiOTP目录下将生成一个图片文件username.png
打开之后是一个二维码。
在手机上使用谷歌身份验证器或者微软验证器,扫描二维码即可实时生成标题为multiOTP:username的6位动态密码。
再远程登录时输入登录密码后将出现OTP输入界面,输入正确的OTP才能登录。
若需删除某个用户名的OTP双因素认证,在命令行执行multiotp.exe -delete username即可
文章评论