Windows 11 RDP RDP Wrapper Cloudflare
Windows 11 內建遠端桌面預設只允許單一使用者同時連線。透過 RDP Wrapper Library 可讓多人各自擁有獨立工作階段,無需購買 Windows Server 授權。
兩種方法
系統需求
- Windows 11 專業版或企業版、系統管理員權限
- 建議 8GB 以上 RAM,多人同時連線時資源要夠
- 開放 RDP 連接埠(預設 TCP
3389,可改非標準埠)
方法一:RDP Wrapper 設定
下載 RDP Wrapper
前往 RDP Wrapper releases 下載最新
.zip,解壓到容易存取的位置(例如 D:\RDPWrapper)。以系統管理員安裝
右鍵
install.bat →「以系統管理員身分執行」。若存取被拒,暫時關閉 Windows Defender 相關防護再試。程式會安裝到 C:\Program Files\RDP Wrapper。更新 rdpwrap.ini(如有紅色警告)
以系統管理員開啟 存檔後重新啟動,再執行
C:\Program Files\RDP Wrapper\rdpwrap.ini,用社群維護的最新設定完全覆蓋其內容:RDPConf.exe 確認全綠。RDP 服務關鍵設定
- 一般設定
- 驗證模式
- 會話遮蔽
| 設定 | 功能 | 安全建議 |
|---|---|---|
| Enable Remote Desktop | 啟動 RDP 服務 | 搭配防火牆限制來源 |
| RDP port | 監聽的 TCP 埠 | 改非標準埠降低自動化攻擊 |
| Hide users on logon | 登入畫面隱藏帳號清單 | 避免洩露帳戶資訊 |
對外存取
需從外網連入時,設定路由器連接埠轉發,並建議用 Cloudflare 增加一層防護。路由器連接埠轉發
在路由器「連接埠轉發 / 虛擬伺服器」新增規則:
| 設定項目 | 範例值 | 說明 |
|---|---|---|
| 內部 IP | 192.168.x.x | 目標電腦內網 IP |
| 外部連接埠 | <external-port> | 自訂非標準埠 |
| 內部連接埠 | 3389 | 與 RDPConf 設定一致 |
| 協定 | TCP |
Cloudflare(擇一)
- A 記錄(快速):在 Cloudflare DNS 新增 A 記錄指向你的公網 IP,Proxy 設「DNS only(灰雲)」。
- Cloudflare Tunnel(推薦):免開路由器埠、自動 TLS、含 DDoS 防護。安裝 cloudflared 後:
用戶端連線
- PC
- 手機
- 內建「遠端桌面連線」(
mstsc):輸入位址:連接埠,帳號密碼登入。 - Microsoft Remote Desktop 應用程式:新增 PC,填位址與認證。
- 命令列:
mstsc /v:<host>:<port>。
疑難排解
| 症狀 | 可能原因 | 排查方向 |
|---|---|---|
| RDPConfig 顯示紅色 | rdpwrap.ini 過期或 termsrv.dll 被改過 | 更新 ini、sfc /scannow、重裝 RDP Wrapper |
| 修補後無法連線 | 服務未重啟、防火牆擋、權限不足 | 重啟 TermService/UmRdpService、查防火牆、確認帳號在「遠端桌面使用者」群組 |
| Windows 更新後失效 | 系統檔還原或設定被覆蓋 | 重查 RDPConf、更新 ini、重啟 |
| 多人連線變慢 | 資源/頻寬不足 | 升級 RAM、降色彩深度、改用有線網路 |
安全強化
- 啟用 NLA(網路層級驗證),連線前先驗證身分。
- RDP 改非標準埠,並在防火牆設來源 IP 白名單。
- 帳戶鎖定原則(如 5 次失敗鎖 30 分)、稽核登入成功與失敗事件。
- 「允許透過遠端桌面服務登入」只給必要使用者,高風險帳號明確拒絕。
- 強密碼原則 + 雙因素,定期檢視
TerminalServices-LocalSessionManager事件記錄。
相關連結
本頁是私人組織 repo issp-mes-lab/remote-win11-pc 的公開精簡版,已移除實驗室內部位址、連接埠、帳號等敏感資訊。原始 repo 為私有,需組織權限方可存取。
- 原始 repo(私有):issp-mes-lab/remote-win11-pc
- RDP Wrapper Library(多人連線核心工具)
- 社群維護的 rdpwrap.ini
- Cloudflare Tunnel (cloudflared)