掌握些许 IPv6 要点,windows 远程桌面安全便利两相宜!

于 2025-03-19 11:27:28 发布
阅读量940 收藏 20
点赞数 24
分类专栏: 运维 文章标签: windows 安全 ipv6 远程桌面
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/goocheez/article/details/146362928
版权

远程桌面

掌握这些要点,Windows 远程桌面安全便利两相宜!

在日常办公中,许多人会用到 Windows 系统的远程桌面功能。但在实际使用时,会遇到内网计算机难以通过运营商的动态 ip 与多层 NAT 向互联网暴露端口的技术问题,和计算机直接暴露在互联网导致易受攻击的安全性问题。既要满足远程桌面的使用需求,又得确保安全,这就需要一些巧妙的设置,其中与 IPv6 技术相关的要点尤为关键。

一、满足远程桌面需求的具体操作及安全考量

我们可以通过使用 IPv6 来给内网计算机分配全球唯一的地址,通过防火墙设置放行该 ip 地址的特定端口达到向互联网直接暴露远程桌面服务的目的。然后通过修改远程桌面默认端口为特定端口、日常上网继续使用随机 ip 地址等措施,进一步保障安全。最后,考虑到运营商提供的 IPv6 前缀总是不断变化的,可以使用 DDSN 技术通过域名访问计算机。

Windows 系统默认 IPv6 地址情况

Windows 系统默认使用随机的 IPv6 后缀地址。这种随机化虽在一定程度上保护隐私,但对于要通过 OpenWrt 防火墙设置固定目标地址以开放远程桌面访问来说,不太方便。

设置基于 EUI-64 算法的静态 IPv6 地址

PowerShell 方式:

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled

CMD 方式:

netsh interface ipv6 set global randomizeidentifiers=disable store=persistent

UseTemporaryAddresses 设置建议

建议保留 Windows 系统中的 UseTemporaryAddresses 设置。开启此设置后,上网时系统会优先使用临时地址。当我们通过开放的远程桌面访问办公室电脑时,临时地址可降低真实 IPv6 地址暴露风险,进一步保障网络安全。虽然这一设置在很多资料中较少提及,但在网络安全实践中被证明非常有效。

二、IPv6 相关技术简介

IPv6 地址样式

IPv6 地址总长度 128 位,被划分为 8 段,其格式如下:

|----- 网络号 ------| 子网号|--------- 主机号 ---------| 前缀长度|
 0123 : 4567 : 89ab : cdef : 0123 : 4567 : 89ab : cdef /64

网络号:占据 48 位,由运营商分配,会动态变化,不同地区网络号不同,更新周期大致在一日到一周。(参考资料:《IPv6 技术详解》)

子网号:长度为 16 位。子网数量取决于运营商提供的 PD(Prefix Delegation)长度。若 PD 长度为 64,只能组建一个子网;若为 48,则最多可划分出 2^16(即 65535 个)子网,子网的使用可实现一些 IPv4 环境下借助 VLAN(虚拟局域网)才能达成的功能。(参考资料:IEEE 802.1Q 标准文档)

主机号:正式名称为 Interface Identifier(接口标识符),主机可依据特定规则自行计算得出,或随机或固定。

EUI - 64 (Extended Uinique Identifier):这是一种依据 Mac 地址计算 Interface Identifier 的算法,其结果具有唯一性,这使得根据 IPv6 地址反向推导 Mac 地址相对容易。(参考资料:RFC 4291 文档)

IPv6 在远程桌面场景中的优势

IPv6 能为每个互联网设备分配唯一地址,相比 IPv4,解决了地址资源匮乏问题,可轻松实现远程桌面端口直接面向互联网开放,无需受限于 IPv4 下复杂的 NAT 设置。

三、参考资料

微软官方文档 - Set - NetIPv6Protocol

《IPv6 技术详解》

RFC 4291 文档

Windows 技术篇 - 远程桌面连接不保存密码、每次都要输入密码问题解决
小蓝枣的博客
08-31 5356
通过 gpedit.msc 打开本次组策略编辑器。 选择 模板管理 - 系统 - 凭据分配 - 允许分配保存的凭据用于仅 NTLM 服务器身份验证 下面的值里输入 TERMSRV/* 即可,* 表示任何机器。 如果想指定仅保存某个域名下的所有机器密码,可以 TERMSRV/*.xxx.xxx.com, 如果想指定某台机器,直接输入指定的 ip 或计算机名即可。
windows ubuntu ssh 免密登录 vscode 远程ssh连接 ipv4 ipv6
ncf的博客
11-24 2239
在客户端使用下面的命令,生成ssh公钥和私钥。生成的过程中,会让你输入密码,自己记住。 ssh-keygen 这一步需要输入密码: 在~/.ssh/目录(可能目录不是这个,终端输出会显示具体目录),id_rsa.pub是公钥,id_rsa是私钥。 将id_rsa.pub上传到服务端的~/.ssh/目录 在服务端执行以下命令,将id_rsa.pub添加到authorized_keys cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_k.
通过IPv6进行远程桌面连接
qq_44761176的博客
10-19 1万+
通过IPv6地址直接进行远程桌面连接,不需要向日葵或者内网穿透啥的
基于IPv6Windows 3389端口远程桌面使用方法,从此告别第三方远程控制软件
热门推荐
COCO56的博客
07-08 4万+
文章目录1. 按2. 环境2.1. Windows 专业版(旗舰版)或企业版2.2. 网络支持IPv63. 受控端配置3.1. 打开服务3.2. 查看IP4. 控制端连接4.1. 电脑4.2. 安卓手机4.3. 苹果平板及其他设备 1. 按 在过去的IPv4统治时代,由于公网地址及其匮乏,没有公网IP地址,导致我们无法直接访问自己的机器。这样的话就需要进行内网穿透时,而内网穿透必然需要借助第三方的服务器进行数据中转。 不管是向日葵 · 远程控制也好,TeamViewer也罢,控制端和受控端并不是直接的点
使用IPV6免费远程连接家庭网络
u010183340的博客
10-21 3515
现在IPV4地址越来越枯竭了,普通家庭宽带想获取公网ip也越来越难了,被逼无奈,又不想花钱租公网服务器,就想用IPV6来进行远程连接。1、服务端有IPV6公网地址。现在家庭宽带应该都有,没有的让运营商开下应该就行。2、光猫或路由器启用IPV6。现在新的路由器基本都支持IPV6的,但一般默认是关掉IPV6的,可以设置开启。如果是光猫接路由,然后服务端主机连路由的,光猫需要设置为桥接模式,使用路由器拨号,经过NAT转换的是不能用公网IPV6的。3、客户端也需有IPV6地址。
利用IPV6搭建windows远程桌面,彻底告别teamviewer
qq_16106195的博客
06-14 1万+
这里写自定义目录标题开通IPV6购买域名域名解析设置配置AliyunDdns开启允许远程桌面连接测试一下 开通IPV6 首先查看你的电脑是否有IPV6地址,以及IPV6连接访问,没有的话就需要联系运营商进行开通。 购买域名 我是购买阿里云的域名,如mayun.press,一般.com后缀的都很贵,像.top,.press,.club等后缀都比较便宜,一年就10元左右 链接:https://wanwang.aliyun.com/domain/searchresult/#/?keyword=mayun&amp
利用IPv6实现公网访问远程桌面
Yulki的博客
06-22 4万+
微软的远程桌面很好用,但是苦于没有公网ip,只能在局域网进行访问。但IPv6的应用可以解决这个问题。
通过IPV6实现远程桌面登录及通过双因素认证来提高登录安全
www.andang.cn
06-12 4663
通过安当SLA,可以在原有的静态密码认证基础上增加第二重保护,从而有效降低用户密码泄露带来的安全风险。静态密码与动态密码的结合:用户登录时,除了需要输入传统的静态密码外,还需提供额外的动态密码或身份验证信息。防止暴力破解和弱密码攻击:通过增加动态密码的要求,即使攻击者知道了用户的静态密码,也无法仅凭此密码登录远程桌面,从而有效抵御暴力破解和弱密码攻击。减少凭证劫持风险:即使攻击者获得了远程桌面的登录凭据(静态密码),他们仍然需要动态密码才能成功登录,这大大降低了凭证被劫持后系统被非法访问的风险。
IPV6远程桌面详解
qq_35223473的博客
09-22 5209
使用IPv6实现远程桌面
利用IPv6进行远程桌面连接
Pc620的专栏
11-25 1万+
学校是教育网,其中寝室和实验室的IPv4地址被划分成了两个VLAN,所以没法使用windows的远程连接功能。今天突然想到学校的IPv6地址可能并未划分成两个VLAN,于是想试试通过IPv6实现寝室和实验室的远程连接。 说明:进行远程连接的两台机器都是win7。   ①首先要设置被远程连接的主机,计算机->属性->远程设置->远程->‘远程协助’勾选“允许远程协助连接这台计算机”;‘远程桌面
通过IPV6+DDNS实现路由器远程管理和Win远程桌面控制
异度空间
04-05 4417
通过IPV6+软路由+DDNS实现内网访问,远程控制路由器及进行远程桌面连接
公网ipv6远程桌面
捉不住的鼬鼠的足迹
12-11 9878
使用了一段时间的公网ipv4,路由器获取的是公网ip,不定期变换。但是也就上海联通和电信有,换了上海移动就没有公网ip了。公网ip用脚本更新到自己的域名,再加上端口映射,访问家里的电脑是很方便的,不用其他服务器跳板,也就是不中转了,速度很快,延迟60ms。 但是移动的没有公网ip,想直连家里的机器就要想别的办法了。就上海和江苏地区来说,ipv6的可用性是很高的。目前三大运营商都部署了ipv6,家里的光猫是有ipv6的公网ip的,且手机流量上网的情况下,可以直接获取到ipv6的地址,无需配置。 所以现在直
【漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
QYbudong的博客
09-04 4399
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
VMware Horizon 8 运维系列(一)windows系统重启被禁用的ipv6功能
白昼的技术专栏
06-12 1463
Horizon 8 在创建桌面池之前,需要对模板虚拟机进行配置,其中会用到windows优化工具,通过禁用一些不必要的服务或功能,让系统达到优化的效果。 最近客户提出一个需求:需要对虚拟机开启ipv6功能,并同时使用ipv6地址。通过查看模板系统,ipv6已经被优化工具禁用,所以需要重新开启ipv6功能,然后再通过模板更新推送,来更新所有桌面计算机。
平替向日葵:Windows远程桌面+动态IP获取器
yxstars
07-05 704
对于需要远程办公的人员来说,向日葵是一个操作简便的选择,但其免费版功能受限,且由于数据需经过向日葵服务器转发,安全性也无法得到完全保障。
使用ipv6内网穿透,实现私有云盘搭建,实现远程控制等功能
lidashent的博客
04-14 4万+
文章目录问题解决创建服务端B的环境配置创建服务端可以访问的用户账户配置服务器对ipv6地址访问的监听创建ipv6访问客户端 问题 ipv6为每一个设备都标注了地址,因此可以直接使用ipv6访问内网中的设备,实现与公网唯一ip一样的功能 从而可以实现远程ftp访问,远程控制,实现个人私有云盘搭建。 买个4t的硬盘安装在家里的电脑上,用ipv6实现内网穿透,就相当于有一个4T的网络云盘了,随时随地就能访问了 就是说你只需要两台能联网的电脑设备就行了,一台用于你身边使用,另一台放到家里等,只要都能上网,就能使用i
使用公网IPv6远程访问内网设备
Ccccxc的博客
03-20 2万+
IPv4公网IP一号难求的环境下,如何优雅的使用公网IPv6进行远程访问?本文将以中国移动的宽带和光猫为例,进行IPv6的设置说明,并实现通过IPv6地址和Windows系统自带的远程工具"mstsc",远程访问内网的Windows主机。
openwrt设置ipv6实现远程桌面
最新发布
01-14
### 如何在 OpenWRT 上通过 IPv6 配置远程桌面访问 #### SSH 登录并编辑防火墙设置 为了允许来自外部网络的请求到达运行远程桌面服务的目标机器,需登录至路由器SSH环境并对防火墙规则进行调整。这一步骤确保只有指定的服务端口被开放给外界访问。 ```bash ssh admin@router_ip_address ``` 进入命令行界面后,修改`/etc/config/firewall`文件以增加新的自定义转发规则: ```bash vi /etc/config/firewall ``` 向该配置文件追加如下内容以便于放行TCP协议下的3389端口流量(假设目标PC位于LAN侧,并拥有固定的IPv6地址)[^1]: ```plaintext config rule option target 'ACCEPT' option proto 'tcp' option dest_port '3389' option src 'wan' option family 'ipv6' option name 'Allow-RemoteDesktop-via-IPv6' ``` 保存更改后的配置文档退出编辑器;随后重启防火墙使新设定生效: ```bash /etc/init.d/firewall restart ``` #### 设置静态 IP 地址 (可选) 为了让后续操作更加稳定可靠,推荐为目标计算机分配一个固定不变的本地IPv6地址。此过程涉及对DHCP服务器选项或是直接在网络接口层面做出相应安排。 #### 测试连通性 完成以上步骤之后,在远端客户端设备上利用RDP客户端软件尝试建立连接。输入之前所设的全局唯一IPv6地址作为目的地即可发起会话请求。 对于Windows操作系统而言,默认自带的支持工具即能胜任这项工作;而对于Linux发行版,则可能需要用到诸如Remmina之类的第三方应用程序来达成目的[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值