“在公司电脑上开个远程桌面,把端口映射到公网,在家就能连回来办公”——这招很多公司在用,看着方便,其实是勒索病毒和黑客最爱的入口。今天讲清楚为什么不要把远程桌面(RDP/3389)直接暴露在公网、它到底有多危险、以及安全的远程访问该怎么做。
先说结论
把远程桌面端口(默认 3389)直接开到公网,等于在公司大门上挂了个牌子,告诉全世界的扫描程序”这里有扇门,来试密码吧”。这是中小企业被勒索、被入侵最常见的入口之一。正确做法不是”换个端口藏起来”,而是根本不把它暴露在公网,改用零信任/VPN 这类先验证身份、再建立加密通道的方式访问。
公网暴露 RDP 到底有多危险
- 全网自动扫描,无时无刻:公网上有大量自动化程序 24 小时扫描开放的 3389 端口,你一映射出去,几分钟内就会被发现。
- 暴力破解密码:发现后就开始不停试账号密码,弱口令几小时就被攻破,一旦进来等于拿到了你这台机器的完全控制权。
- 勒索病毒主要入口:大量勒索事件就是从被攻破的 RDP 进来的——进来后加密全盘文件、再横向扩散到共享盘和其它机器。
- 漏洞风险:RDP 本身历史上出过严重漏洞(如可蠕虫式传播的高危漏洞),暴露在公网意味着补丁稍慢就可能被直接攻破。
几个常见的”伪安全”做法,其实都不靠谱
| 做法 | 为什么不靠谱 |
|---|---|
| 改端口(3389→别的) | 扫描程序会全端口扫,换端口只能挡住最低级的,挡不住自动化工具 |
| 设个复杂密码就行 | 挡得住暴力破解,挡不住漏洞利用和凭据泄露,且只要暴露就持续被攻击 |
| 加个白名单 IP | 员工在外 IP 经常变,维护困难,且配置一松就破功 |
| 用某些个人远控软件 | 企业场景下权限粗、审计弱、合规难,不适合正式生产环境 |
正确做法:别暴露,先验证身份再连接
安全远程访问的核心原则是:业务系统(包括远程桌面)根本不直接暴露在公网,只有通过身份验证的人,才能在加密通道里访问到被授权的那台机器。落地方式主要有两种:
- 零信任远程访问(推荐):默认不信任,每次访问都验证身份和权限,业务系统对公网”隐身”(扫描都扫不到),按账号授权、可审计、离职一键回收。
- 传统 VPN:也能把入口收起来,但”进了 VPN 就是一整片内网”、权限较粗,作为过渡可用,长期更建议零信任。
对中小企业,最省心的是用 SaaS 化的零信任方案。以 sTrust 为例:控制面在国内、已备案、可配合等保 2.0,员工装个客户端、验证身份后才能访问被授权的内网资源(包括远程桌面),无需把任何端口暴露公网;按账号授权、离职一键回收、国内直连连得稳,软件方式开通不用买硬件。北京企业要本地落地实施,也可以让 思文力得 把网络、安全、远程接入一起打包做掉。
立刻可以做的三件事
- 先排查:确认公司有没有把 3389(或其它远程桌面/管理端口)映射到了公网,有就尽快关掉。
- 换通道:把”公网直连远程桌面”改成”先连零信任/VPN、再在内网访问远程桌面”。
- 加固账号:关键账号用强口令 + 多因素认证,并按最小权限分配。
常见问题
Q:把远程桌面端口从 3389 改成别的,是不是就安全了?
A:不安全。自动扫描程序会全端口扫描,改端口只能挡住最初级的探测,挡不住专业的自动化攻击。根本办法是不把它暴露在公网。
Q:我设了很复杂的密码,还会被攻破吗?
A:复杂密码能挡暴力破解,但挡不住协议漏洞利用、凭据泄露等;而且只要端口暴露,就会被持续攻击。安全的前提是先把暴露面收起来。
Q:员工确实需要在外面连公司电脑,怎么办?
A:让员工先通过零信任/VPN 验证身份、建立加密通道,再在内网里访问远程桌面。这样既能远程办公,又不用把端口开到公网。
Q:中小企业没有专职 IT/安全,怎么落地?
A:用 SaaS 化的零信任方案(如 sTrust),软件开通、不用买硬件,或交给 IT 运维服务方统一配置和维护。
还在把远程桌面开在公网?赶紧换个安全的连法
sTrust 零信任远程访问:业务系统对公网隐身、先验证身份再连接,按账号授权、离职一键回收、可配合等保 2.0,软件开通不用买硬件、国内直连连得稳。访问 strust.siwenlide.com 免费试用;北京企业本地落地可拨 400-686-2011 或访问 siwenlide.com。