远程桌面跟SSH一样，是把锋利的刀。初哥慎重。
如前帖说的，非标端口，加强密码或者证书登录。我觉得足够拒掉90%拿着端口扫描器尝鲜的菜鸟了，系统日志可以清静很多。
及时打补丁，这点用win10应该可以做到，剩下能凑效的攻击，除非是比用户更高层次的（相关部门，运营商）玩中间人，需要攻击者很多机时和流量，那得是高价值目标，或者容易目标（本例）人家才愿意做。防护措施不能保证100%安全，但能让攻击更麻烦更耗资源，留下更多痕迹，给人找后账可能性大增，足够阻吓。
要访问有多方便，就能有多危险。不存在什么普通人，攻击者可不会理这个。如果没能力，没精力，去理解使用说明，或者最佳实践之类的文档，密码强度不达标，那就准备承受后果呗。如果不能，那当然就不要用了。
两步验证，ms提供商用方案。个人用knockd或者fwknopd也可以。硬件防火墙，ids之类更夸张的就不多说了。
外围防护，数据防泄漏，防篡改这些，很是没趣，不多说，需要的时候自然知道了，包括被社会教育。

【 在 Siegelion 的大作中提到: 】
:
: 如何两步验证，远程桌面没自带这功能吧？
: 邮件短信或者手机令牌看着挺好，非专业人士自己搭建恐怕有难度
: 那普通人需要远程桌面怎么才能保证安全，别说不要用，活人跑过去现场用
: 【 在 Dazzy (大懒虫，脱焦省却磨皮) 的大作中提到: 】

#发自zSMTH@Redmi Note 7
--
FROM 113.119.11.*

无脑操作就是非标准高段端口，强密码。不放心就用key文件。
没有绝对安全的，就如大部分人的家门，能顶开锁师傅15分钟，或者强力破拆2分钟就够了。
剩下靠外部群防。
人还是关键，用户可以把自己搞得很不方便，铁桶，攻击者更惨。同时还得关注CVE公告，及时整改。如果假定用户是小白，要么物理隔离，要么按规程，不用问为什么。足够打消闲逛路过撒网的攻击者兴趣了。

【 在 Siegelion @ [DigiHome] 的大作中提到: 】
:
: 这些社会学原理我倒是明白，只是在寻找效果比较可靠，技术上相对简单的方案
: （不只是学习量，包括操作设置复杂度，对外依赖性，随时换机器迁移成本等）
:
: 我现在路由高端口映射内网V屁N服务器，但没有使用证书、预共享密钥等功能，

#发自zSMTH@Redmi Note 7
--
FROM 113.115.14.*

拓扑是改了，不过一个合格的路由，基本的安防还是不难。
拿openwrt的firewall为例，interface分wan，wan6，lan.
把源自wan，wan6的input或者forward包全部reject即可。不需要考虑nat与否的问题。

【 在 leadu (leadu) 的大作中提到: 】
: 如果别的安全配置都是相同的情况下，开启ipv6更加不安全。
: 用通俗的话说，你可以认为ipv6只有子网，没有内网这回事了，所有机器都在公网上，尽管家里可能是星型连接所有设备在路由后面。虽然可以通过nat66搞出来内网，但是比较麻烦，而且现在一般硬件路由器都不支持
--
FROM 121.32.13.*

看你路由设置啊。想玩得开心一点，就从wan侧对自家路由发起模拟攻击。

【 在 jiangyounan 的大作中提到: 】
:
: 怎么查证呢？
:
: 【 在 Dazzy 的大作中提到: 】
: : 原则上是，取决于路由。

#发自zSMTH@Redmi Note 7
--
FROM 113.115.14.*

摄像头固有属性就是爆主人家的料。
至于整个IoT设备类别，很多公司留着在线升级向设备推送固件之类的接口，可能传个shell什么的，IoT设备变成局域网内肉鸡，对内网其它设备进行攻击。
得控制它们的数据流向，对它们做内网隔离。不需要公网查看的，干脆不许它们连外网。
我对依赖回传第三方公司的智能家居服务没兴趣。


【 在 mingtong 的大作中提到: 】
:
: 我就正想问摄像头这类东西。
: 他能进一步做什么呢？
: 【 在 Dazzy 的大作中提到: 】
: : teamview这种，是个安全要看人家公司脸色的玩意。能在自己公网路由上做端口映射，做点到点远程，为嘛还要第三方过道手？

#发自zSMTH@Redmi Note 7
--
FROM 121.32.13.*