家庭网络安全实战教训

近期关于RDP漏洞的讨论很多，有一条推文特别公开谴责那些在2019年仍在使用端口转发远程访问公司局域网内机器的企业。我原本想，他们说的是企业，不是普通用户。但这条推文一直萦绕在我心头，最终促使我朝着提升安全性迈出了一小步。

我承认！我一直将一个随机（非3389）端口转发到局域网中的一台机器上，以便进行RDP连接，这样做纯粹是为了方便和成本效益。我选择了一个不常用的端口，以防止它在Shodan或任何仅扫描常见端口的扫描中出现。这给了我一种"通过隐匿实现安全"的信心水平，可能其他人对家庭局域网也有同感。

我搜索了提高RDP安全性的简单方法，找到了这个指南，它引导你如何设置本地策略，在多次登录失败后自动锁定账户。我继续在我进行RDP登录的那台机器上设置了此策略。在那台机器上，我只有一个本地账户，属于管理员组。

今天，我尝试登录该机器时收到了这个（图片来自Google图片）：

好吧，我想，可能有一个不那么可怕的原因——也许是我创建了一个带有存储凭据的计划任务然后完全忘记了？ 旁注——当你是机器上唯一能登录的用户却被锁定时，修复起来真是麻烦！登录屏幕不允许你以任何其他用户身份登录，即使重置密码也不会解锁。我启动到恢复模式并启动命令提示符，但无法在那里使用"net user"看到我被锁定的账户——它列出了其他账户，但没有列出有问题的那个。我最终使用的修复方法是在恢复命令提示符中将utilman.exe替换为cmd.exe，然后正常启动，接着点击"轻松访问"在正常启动时获得管理员命令提示符，从而能够再次将用户账户设置为活动状态。

好了，现在我们解锁了，一切恢复正常了，对吧？作为一名取证人员，我真的很想找出导致锁定的原因。我打开了事件查看器并查看了安全日志。接下来观察到的情况让我震惊。在这一切发生前的12天里，我有超过14,000次通过RDP登录失败的尝试。进一步检查显示，失败的尝试常常伴随着随机的账户名，这只能是字典攻击的一部分。我导出了列表并编写了一个C#脚本来统计使用的名称，如果有人感兴趣，我把它们放在了pastebin这里。ADMINISTRATOR是明显的"赢家"，有超过9611次失败的登录。

这让我陷入了"安全改进"的兔子洞，包括：

• 在路由器上完全禁用端口转发
• 在我的机器上运行nmap并发现 somehow 开放的端口
• 发现我的路由器上启用了UPnP并禁用它——真的吗？
• 浏览华硕安全清单并将所有项变为绿色，例如将我的"admin"用户名更改为其他名称，禁用WPS，启用仅HTTPS访问路由器，将路由器固件更新到最新版本等。

虽然目前没有证据表明有人成功访问了我的机器，但我觉得这是一个极好的警钟。至于远程访问，我打算禁用RDP，转而使用第三方远程服务——一个允许我使用双因素认证并具有"来自X.X.X.X的登录尝试"通知邮件等功能的服务。