前言

Windows自带的远程桌面（RDP）功能确实方便，但如果没有任何防护手段任由RDP端口长期暴露在公网就非常危险，从作者以前这篇短文的热度可以窥视到冰山一角：

远程桌面惨被勒索，砖家怒而开发内网穿透工具，彻底解决安全问题

SafeDesktop 软件集"安全防护+#内网穿透"于一体；以前边开发边写文档显得信息比较零散，本文结合读者的部分疑问写写SafeDesktop的全流程设计；大家理解流程后能更容易发现漏洞，有助于后期补缺补差

这款软件总结起来有两个特点：安全+简单，当然这也是开发前定义的目标。

功能亮点

SafeDesktop 安全桌面是集 内网穿透 和 安全防护 于一体的远程桌面工具。工具通过以下措施保护电脑完全不受黑客攻击，安全性极高。

按需使用：远程桌面端口默认是关闭状态；用户在微信小程序开放连接后即可连接设备。

多次认证：微信就是钥匙，天然二次认证；没有登录微信则无法开放远程连接。

自动关闭：远程会话结束/超时后，软件自动关闭端口。

软件安装及运行

在windows电脑上免费免安装，下载后直接运行。

首次使用时微信扫码绑定电脑；界面简单易用，此处不赘述。

软件下载地址

​https://diaohua.net/app/safedesktop.exe​

提示

• 软件运行后可以关闭运行界面，程序在后台运行

• 空密码登录是危险操作，不建议开启

连接远程桌面

开放远程连接

为保证用户安全，远程桌面对公网接口默认是关闭状态。在微信小程序中点击“开放远程连接”后才能连接：

“首选连接地址”是固定的，可以保存到客户端方便下次使用

如果首选连接地址连接失败，可以使用“备用连接地址”

提示

连接地址五分钟之内之内有效，超时后需要重新开放端口

安全防护全景

SafeDesktop软件对远程桌面的防护按用户操作可以分为三阶段：

阶段1：端口隐藏

软件开始工作到用户通过小程序打开端口之前，远程桌面的端口从公网来的所有TCP连接请求都被拒绝，网络扫描工具一般会显示端口被防火墙阻断。

阶段1原则上是绝对安全的。

阶段2：自动黑名单

"用户打开端口后到用户输入正确的用户名密码登录之前"这个阶段TCP可以正常连接，为了保护用户安全性，这个阶段提供自动黑名单功能：只要该IP地址出现一次登录失败，这个IP地址就进入黑名单无法再连接端口（表现同样显示被防火墙阻断），具体可以看文章：

远程桌面防护再升级，提供最严格自动黑名单功能

一旦有用户成功登录软件就会记录该IP地址为合法地址，进入阶段3。

理论上阶段2的时间比较短暂：留给中国足球（啊不对是黑客）的时间不多了。

阶段3：白名单

阶段3可以算是一个灰度阶段，只对最后一次成功登录的IP地址提供服务，其它地址都无法连接该端口。

严谨的朋友思考后可能有疑问：如果黑客在此时正好使用白名单地址发起攻击怎么办？虽然感觉所有采用白名单策略的软件都面临这种小概率事件，但在3.0以上版本中我们采用了黑名单优先的策略解决了这个问题：如果白名单地址登录失败后就加入黑名单，不能再连接远程桌面，但原有连接不受影响。

阶段3在用户退出一小段时间后会重新进入阶段1，这时就需要用户重新通过小程序打开端口才能再登录了。

写在最后

为了假装我们的软件很高端，所以我整了三个小词大家看看是不是显得高大上一点，黑科技有三：自动隐藏端口、自动锁定连接、自动黑名单。