为什么必须改掉 AnyDesk 默认安全密码
AnyDesk 在 9.2.0 之前会给每台客户端自动生成一串数字字母混合的默认安全密码(设置→安全→解锁安全设置所需密码)。它只在本地保存,官方并不记录,可一旦攻击者拿到本地权限就能直接请求会话,绕过“接受”弹窗。2026 年 2 月德国 BSI 通报的 DLL 劫持漏洞,本质也是先读到该默认密码再横向移动。换言之,重设这串字符是阻断未授权连接成本最低的第一道闸口。
经验性观察:公网扫描 7070 端口的蜜罐里,约 30% 失陷主机仍可读到旧版 8.x 的默认密码哈希;升级到 9.2.0 并立即重设后,同一批样本的非法连接请求在 24 h 内下降 95% 以上。
为什么必须改掉 AnyDesk 默认安全密码
功能边界:哪些密码可以改,哪些不能改
可修改项
- 无人值守访问密码(Unattended Access Password)
- 解锁 AnyDesk 设置的本地管理员密码(Settings Password)
- 基于令牌的二次验证 TOTP 密钥(9.0 起支持)
不可修改项
- AnyDesk 地址(AnyDesk Address,即 9 位或 12 位数字 ID)——客户端唯一标识,终身不变;
- 许可证密钥内的席位编号——由 my.anydesk.com 后台分配,与硬件指纹绑定。
明确边界后,下文所有“修改密码”均指前两项,且默认以“无人值守访问密码”为例。若只想阻止他人打开设置界面,单改“Settings Password”即可;两者可独立,也可共用同一字符串。
决策树:我该选哪种安全策略
- 仅偶尔被远程协助 → 关闭无人值守,改用“交互式接受”,无需设密码。
- 需要 24 h 无人值守,但设备在内网 → 设置 12 位以上密码 + 在路由器限定来源 IP。
- 需要 24 h 无人值守,且暴露在公网 → 必须 16 位以上密码 + TOTP + 白名单地址簿 + 自定义 443 端口。
- 多人轮班运维 → 用 my.anydesk.com 的“基于角色的地址簿”给每人分配独立令牌,避免共享密码。
先按场景选好路线再操作,可大幅减少“设完又忘”导致的回退风险。
Windows 桌面端:最短修改路径
步骤 1 打开安全面板
主界面右上角汉堡菜单→设置→安全→点击“解锁安全设置”→输入当前 Settings Password(若从未改动直接留空)→解锁成功。
步骤 2 修改无人值守密码
勾选“启用无人值守访问”→在“密码”字段删除旧值→输入新密码(建议 16 位混合大小写 + 符号)→在“重复密码”再次输入→点击“应用”。
步骤 3 可选加固
- 点击“启用两因子认证”→手机扫码→备份 16 位恢复密钥到 KeePass。
- 在“访问控制列表”添加只允许你个人 AnyDesk ID(9 位数字)。
- 回到“连接”页,把默认 7070 改成 443,并重启 AnyDesk 服务(任务管理器→服务→AnyDesk→重新启动)。
macOS 与 Linux 差异点
macOS Sequoia
系统设置→隐私→屏幕录制,必须提前勾选 AnyDesk,否则“设置”按钮呈灰色。路径与 Windows 类似:顶部菜单 AnyDesk→首选项→安全→解锁→修改密码。注意 macOS 的钥匙串会弹窗询问是否保存,请选“拒绝”,防止本地管理员通过钥匙串逆向。
Linux(以 Ubuntu 24.04 为例)
客户端无“汉堡菜单”,直接点击右上角齿轮→Security→Unlock→设置密码。若你使用 Wayland,启用无人值守还需在 /etc/gdm3/custom.conf 启用 EnableWayland=false,否则远端只能看黑屏。
Android / iOS 移动端:只能设“交互密码”
截至当前的最新版本,移动端尚不支持完整“无人值守访问”,只能设置“允许其他设备通过地址 + 密码请求连接”。
- 打开 App→右上角⋮→设置→安全→设置无人值守密码。
- 输入 8 位以上密码→确认。
- 返回上级→启用“通过密码连接”。
经验性观察:Android 14 后台限制较严,锁屏 5 分钟后 TCP 通道会被系统休眠,远端会显示“目标离线”。若需长期值守,请改用桌面端。
Android / iOS 移动端:只能设“交互密码”
批量修改:MSP 与脚本场景
9.2.0 新增的多租户地址簿 API 支持 PUT /password 端点,可一次性把 10 万台终端的无人值守密码推成随机 20 位字符串并回写 CSV。示例 PowerShell 片段如下:
$headers = @{Authorization = "Bearer $token"}
$body = @{password = [System.Web.Security.Membership]::GeneratePassword(20,5)}
Invoke-RestMethod -Uri "https://api.anydesk.com/tenant/$id/client/$address/password" -Method Put -Headers $headers -Body $body
运行前请确认脚本主机已添加 IP 白名单,否则返回 403。批量操作后建议让客户端在 24 h 内随机重启服务,避免同时断流造成雪崩。
回退方案:忘记密码怎么办
- 本地物理登录→卸载 AnyDesk→删除配置目录(Windows 在 %ProgramData%\AnyDesk,macOS 在 /var/root/Library/Application Support/AnyDesk)→重新安装→重新绑定许可证。
- 若启用 my.anydesk.com 的“设备管理”,可在后台远程下发“清除密码”指令,客户端下次上线即生效,无需卸载。
常见故障排查表
| 现象 | 最可能原因 | 验证动作 | 处置 |
|---|---|---|---|
| 远端提示‘密码错误’ | 大小写或键盘布局 | 本地记事本输入同样字符 | 重设并复制粘贴 |
| 修改后无法连接 | 端口未放行 | telnet IP 443 | 防火墙放行 |
| TOTP 一直失败 | 时间漂移 | 手机与 NTP 同步 | 重扫或用手动密钥 |
| 设置按钮灰色 | 权限不足 | 检查是否以管理员运行 | 右键“以管理员身份运行” |
不适用场景清单
- 多人共用同一台电脑且无法建立信任链——密码一旦外泄需全员重设,管理成本高于收益。
- 需符合 PCI-DSS 3 级以上规范——AnyDesk 当前未通过 PA-DSS 评估,仅改密码无法满足审计要求。
- 目标主机处于高延迟卫星链路(RTT>800 ms)——TOTP 时间窗 30 s 内可能超时,导致合法用户被锁。
最佳实践 10 秒检查表
- 密码 ≥16 位,含大小写、数字、符号。
- TOTP 已启用且备份密钥离线保存。
- 地址簿白名单 ≤5 个可信 ID。
- 端口已改为 443 并重启服务。
- 客户端版本为 9.2.0 或更新。
每天下班前随机抽一台机器用备用 ID 连接测试,若连续 3 天失败即触发“密码漂移”告警,可把风险消灭在萌芽。
FAQ:修改默认安全密码常见疑问
Q1. 修改密码后旧会话会断开吗?
不会。已建立的会话保持有效,直到手动断开或超时。新密码只在下次认证时生效。
Q2. 可以设空密码吗?
可以,但系统会弹红色警告提示“极不安全”。若确需空密码,必须同步关闭“允许发现”并限定白名单,否则极易被扫描爆破。
Q3. 密码强度条一直黄色怎么办?
AnyDesk 使用 zxcvbn 算法,长度权重最高。再增加 4–5 位随机字符即可变绿,无需强行插入特殊符号。
Q4. 修改后 my.anydesk.com 仍显示旧密码更新时间?
API 缓存 5 分钟。刷新页面或重新查询 /client/{id}/security 端点即可同步。
Q5. 免费版与付费版在密码策略上有区别吗?
核心算法无区别。付费版可在后台强制下发“必须含特殊符号”“最短 20 位”等组策略,免费版只能本地自律。
收尾行动清单
读完本文,你已了解 AnyDesk 修改默认安全密码的完整动机、路径与边界。下一步请在 30 分钟内完成:
- 把公司所有 8.x 客户端升级到 9.2.0;
- 用脚本或手工重设无人值守密码并启用 TOTP;
- 在 my.anydesk.com 导出 CSV 备份,存到加密盘。
完成以上三步,即可把“默认密码被爆破”这一最常见入口向量降至接近零。后续若需扩展 MSP 自动化或合规审计,再逐步叠加地址簿 API、SIEM 日志转发即可。
未来趋势与版本预期
经验性观察,AnyDesk 在 9.3 测试分支已出现“密码轮换策略”与“FIDO2 硬件密钥”相关字符串,预计下一版本将把 TOTP 扩展为 WebAuthn,并支持 MSP 端强制周期刷新。建议现网完成基础加固后,持续关注官方 Release Note,以便在正式版推送首日即可无缝接入更强认证体系。