我建议不要将内部服务器直接暴露在 Internet 上。

远程代码执行漏洞过于频繁地出现，无法舒适地直接暴露内部主机。

也就是说，您可以通过几个步骤来减轻风险（这些不是替代品，它们是分层的补充防御）：

1. 外围防火墙对 Windows 主机或主机上的 tcp/3389 实施源 IP 白名单
2. 每个 Windows 主机上的 Windows 防火墙强制执行源 IP 白名单，专门针对 localhost 上的 tcp/3389
3. 要么：将远程桌面网关用作 DMZ 中位于单独域上的堡垒主机，并将类似的限制置于 DMZ 和内部之间的 1 和 2
4. 或者：如果 RDG 不是一个好的选择，请使用上述 SSH 堡垒主机和端口转发

这些步骤大大减少了侦察或攻击的风险

有几种方法可以保护 RDP。

• 最佳做法是不要使用公共端口#3389。把它翻译成不同的东西。是减少黑客攻击的最佳方式。
• 仅允许某些 IP（或 IP 范围）地址访问公共 IP。使用智能路由器。我使用 mikrotik ( http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention ) 或 Cisco。
• 将防火墙阻止配置为多次尝试。我使用第三方工具来阻止流量。免费工具来自www.bfguard.com。还有几个，但我喜欢这个，因为它是免费的。该工具分析登录失败的事件日志，然后将 IP 添加到 Windows 防火墙以进行阻止。
• 最后，因为它更复杂但还不错的是设置 VPN。这样做的方法很少。
  1. 使用内置的windows VPN 服务器
  2. 使用路由器的功能。大多数更好的路由器都内置了它。
  3. 设置单独的访问服务器，如 OpenVPN、Mikrotik 或一些基于 linux 的......
• 考虑使用辅助密码和辅助驱动器上的 bitlocker 加密您的敏感数据，辅助驱动器可能是存储在主磁盘上的虚拟磁盘。
• 使用具有强密码的随机用户名。您可以查看您的密码和用户名泄露的密码列表