WindowsServer2008系統(tǒng)具有無與倫比的安全優(yōu)勢，使許多朋友無意識地加入了使用行列。但是，這并不意味著Windows Server 2008系統(tǒng)的安全性會讓人感到安全;當(dāng)我們打開系統(tǒng)的遠(yuǎn)程桌面功能時，Windows Server 2008系統(tǒng)的安全問題會立即突出顯示。本文是錯新技術(shù)頻道總結(jié)的遠(yuǎn)程桌面功能的安全設(shè)置技巧，希望您能得到啟發(fā)!

　　強(qiáng)迫執(zhí)行網(wǎng)絡(luò)級身份驗證

　　盡管傳統(tǒng)操作系統(tǒng)也具有遠(yuǎn)程桌面功能，不過Windows Server 2008系統(tǒng)對遠(yuǎn)程桌面功能的安全性能進(jìn)行了強(qiáng)化，它允許網(wǎng)絡(luò)管理員通過合適設(shè)置來強(qiáng)迫遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級身份驗證，以防止一些非法用戶也趁機(jī)使 用遠(yuǎn)程桌面功能來入侵Windows Server 2008服務(wù)器系統(tǒng)。要實現(xiàn)強(qiáng)迫遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級身份驗證操作時，我們必須按照如下步驟來設(shè)置Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接參數(shù)：

　　首先以超級用戶的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，打開對應(yīng)系統(tǒng)的“開始”菜單，從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項，打開本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺窗口;

　　其次將鼠標(biāo)定位于服務(wù)器管理器控制臺窗口左側(cè)顯示區(qū)域中的“服務(wù)器管理”節(jié)點選項上，在對應(yīng)“服務(wù)器管理”節(jié)點選項的右側(cè)顯示區(qū)域，單擊“服務(wù)器摘要”設(shè)置區(qū)域中的“配置遠(yuǎn)程桌面”鏈接，打開服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對話框;

　　在該設(shè)置對話框的“遠(yuǎn)程桌面”處，服務(wù)器系統(tǒng)共為我們提供了三個設(shè)置選項，如果我們想讓局域網(wǎng)中的任何一臺普通計算機(jī)都能順利使用遠(yuǎn)程桌面連接來遠(yuǎn)程控 制Windows Server 2008服務(wù)器系統(tǒng)時，那應(yīng)該將“允許運行任意版本遠(yuǎn)程桌面的計算機(jī)連接”功能選項選中，當(dāng)然這種功能選項容易對Windows Server 2008服務(wù)器系統(tǒng)的運行安全性帶來麻煩。

　　為了讓我們能夠安全地使用遠(yuǎn)程桌面功能來遠(yuǎn)程控制服務(wù)器，Windows Server 2008系統(tǒng)推出了“只允許運行帶網(wǎng)絡(luò)級身份驗證的遠(yuǎn)程桌面的計算機(jī)連接”這一控制選項(如圖1所示)，我們只要將該控制選項選中，再單擊“確定”按鈕保 存好設(shè)置操作，日后Windows Server 2008系統(tǒng)就會自動強(qiáng)制對任何一位遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級身份驗證操作了，這樣的話非法用戶自然也就不能輕易通過遠(yuǎn)程桌面連接功能來非法攻擊 Windows Server 2008服務(wù)器系統(tǒng)了。

　　只許特定用戶使用遠(yuǎn)程桌面

　　要是開通了Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能，本地服務(wù)器中也就多開了一扇后門，有權(quán)限的用戶能進(jìn)來，沒有權(quán)限的用戶同樣也能進(jìn)來，如此一來本地服務(wù)器系統(tǒng)的運行安 全性自然就容易受到威脅。事實上，我們可以對Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能進(jìn)行合適設(shè)置，讓有遠(yuǎn)程管理需求的特定用戶能從遠(yuǎn)程桌面這扇后門中進(jìn)來，其他任何用戶都不允許自由進(jìn)出，那樣的話 Windows Server 2008服務(wù)器系統(tǒng)受到非法攻擊的可能性就會大大降低了;要想讓特定用戶使用遠(yuǎn)程桌面功能，我們可以按照如下操作來設(shè)置Windows Server 2008服務(wù)器系統(tǒng)：

　　首先打開Windows Server 2008服務(wù)器系統(tǒng)的“開始”菜單，從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項，進(jìn)入本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺窗口;

　　其次單擊服務(wù)器管理器控制臺窗口右側(cè)區(qū)域中的“配置遠(yuǎn)程桌面”鏈接選項，打開服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對話框，單擊該對話框中的“選擇用戶”按鈕，系統(tǒng)屏幕上將會出現(xiàn)如圖2所示的設(shè)置窗口;

　　將該設(shè)置窗口中已經(jīng)存在的用戶賬號一一選中，并單擊“刪除”按鈕;之后，再單擊“添加”按鈕，在其后出現(xiàn)的用戶賬號瀏覽對話框中，找到有遠(yuǎn)程管理需求的 特定用戶賬號，并將該賬號選中添加進(jìn)來，再單擊“確定”按鈕退出設(shè)置操作，這樣的話任何一位普通用戶日后都不能使用遠(yuǎn)程桌面功能來對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程管理了，而只有在這里設(shè)置的特定用戶才有權(quán)限通過遠(yuǎn)程桌面連接訪問目標(biāo)服務(wù)器系統(tǒng)。

　　禁止administrator使用遠(yuǎn)程桌面　 　在缺省狀態(tài)下，Windows Server 2008服務(wù)器系統(tǒng)允許administrator賬號使用遠(yuǎn)程桌面功能，為了防止非法攻擊者嘗試使用該用戶賬號來攻擊本地服務(wù)器系統(tǒng)，我們可以按照下面 的操作來禁止administrator賬號通過遠(yuǎn)程桌面連接來訪問Windows Server 2008服務(wù)器系統(tǒng)：　　由于從服務(wù)器 系統(tǒng)中無法直接刪除administrator賬號，為此我們可以采用最為極端的方法，那就是將administrator賬號強(qiáng)行禁用;禁用該用戶賬號 最簡單的方法就是先依次單擊服務(wù)器系統(tǒng)桌面中的“開始”/“程序”/“附件”選項，從下拉菜單中選中“命令提示符”命令，并用鼠標(biāo)右鍵單擊該命令選項，再 執(zhí)行右鍵菜單中的“以管理員身份運行”命令，打開Windows Server 2008系統(tǒng)的MS-DOS工作窗口，在該窗口的命令行中執(zhí)行字符串命令“net user administrator /active:no”就可以了。

　　不過，上面的方法往往會影響網(wǎng)絡(luò)管理員正常管理服務(wù)器系統(tǒng)，為此我們還可以通過為administrator賬號更名的方式，來禁止administrator使用Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接：

　　首先以超級用戶的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕，打開本地服務(wù)器系統(tǒng)的組策略編輯控制臺窗口;

　　其次在該控制臺窗口的左側(cè)列表區(qū)域中，將鼠標(biāo)定位于“計算機(jī)配置”分支選項上，再從該分支下面依次展開“Windows設(shè)置”/“安全設(shè)置”/“本地策 略”/“安全選項”，在對應(yīng)“安全選項”的右側(cè)顯示區(qū)域中，雙擊“帳戶：重命名系統(tǒng)管理員”目標(biāo)組策略選項，打開如圖3所示的選項設(shè)置窗口，在該窗口中我 們就能將administrator的名稱修改成其他人不容易猜中的賬號名稱，最后單擊“確定”按鈕就能使設(shè)置生效了。

　　當(dāng)然，我們也可以通過將administrator賬號的終端登錄權(quán)限取消的方法，來達(dá)到禁止administrator使用遠(yuǎn)程桌面功能的目的;在取 消administrator賬號的終端登錄權(quán)限時，我們可以先按前面操作打開服務(wù)器系統(tǒng)的組策略編輯控制臺窗口，將鼠標(biāo)定位于組策略編輯控制臺窗口左側(cè) 區(qū)域中的“計算機(jī)配置”分支選項上，再從該分支下面依次展開“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)限分配”子項，在對應(yīng)“用戶權(quán) 限分配”子項的右側(cè)顯示區(qū)域中，雙擊目標(biāo)組策略選項“通過終端服務(wù)允許登錄”，在其后彈出的窗口中將administrators賬號刪除掉，如此一來， 當(dāng)非法用戶嘗試使用administrator賬號遠(yuǎn)程連接Windows Server 2008服務(wù)器系統(tǒng)時，就會出現(xiàn)拒絕登錄的報警提示。

　　只許特定計算機(jī)使用遠(yuǎn)程桌面　 　有的時候，為了防止局域網(wǎng)中的計算機(jī)病毒隨意通過遠(yuǎn)程桌面連接傳染給Windows Server 2008服務(wù)器系統(tǒng)，我們需要限定任何用戶只能從局域網(wǎng)中特定的安全計算機(jī)上使用遠(yuǎn)程桌面功能，來遠(yuǎn)程控制目標(biāo)服務(wù)器系統(tǒng)。為了實現(xiàn)只許特定計算機(jī)使用遠(yuǎn) 程桌面與Windows Server 2008服務(wù)器系統(tǒng)建立連接的目的，我們可以按照如下步驟來設(shè)置本地服務(wù)器系統(tǒng)：

　　首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開始”/“運行”命令，打開系統(tǒng)運行文本框，在其中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開組策略編輯控制臺窗口;　 　其次在該控制臺窗口的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位于“計算機(jī)配置”分支選項上，再從該分支下面依次展開“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接” /“Windows防火墻”/“標(biāo)準(zhǔn)配置文件”子項，找到“標(biāo)準(zhǔn)配置文件”子項下面的“Windows防火墻：允許入站遠(yuǎn)程管理例外”目標(biāo)組策略項目，用 鼠標(biāo)雙擊該項目，打開如圖4所示的屬性設(shè)置界面;

　　 　 　下面將該設(shè)置界面中的“已啟用”項目選中，并且在其后自動激活的“允許來自這些IP地址的未經(jīng)請求的傳入消息”文本框中輸入安全的特定計算機(jī)IP地址， 再單擊“確定”按鈕完成設(shè)置操作，這樣的話任何用戶日后只能從這里指定的普通計算機(jī)上使用遠(yuǎn)程桌面功能來遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)了。 www.survivalescaperooms.com 　　禁止所有計算機(jī)使用遠(yuǎn)程桌面　　在排查網(wǎng)絡(luò)故障的時候，我們有時 需要臨時禁止局域網(wǎng)中的所有計算機(jī)與Windows Server 2008服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接，實現(xiàn)這種控制目的的方法有很多，不過最為簡單的方法，就是利用服務(wù)器系統(tǒng)內(nèi)置防火墻功能來快速禁止Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面訪問網(wǎng)絡(luò)，下面就是具體的限制步驟：

　　首先打開Windows Server 2008服務(wù)器系統(tǒng)桌面的“開始”菜單，從中依次單擊“設(shè)置”/“控制面板”選項，在彈出的系統(tǒng)控制面板窗口中，雙擊Windows防火墻選項，在其后彈 出的窗口中單擊左側(cè)區(qū)域中的“啟用或關(guān)閉Windows防火墻”鏈接，進(jìn)入Windows Server 2008系統(tǒng)的防火墻基本配置窗口;　 　接著單擊基本配置窗口中的“例外”選項卡，打開如圖5所示的選項設(shè)置頁面，將該頁面中的“遠(yuǎn)程桌面”選項取消選中，再單擊“確定”按鈕關(guān)閉設(shè)置頁面，如 此一來局域網(wǎng)中的任意一臺計算機(jī)再次嘗試與Windows Server 2008服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接時，都會被對應(yīng)系統(tǒng)中的內(nèi)置防火墻程序強(qiáng)行禁止掉了。

　　 　　對遠(yuǎn)程桌面連接適當(dāng)限制　 　大家知道，如果在某一段時間內(nèi)同時有若干個遠(yuǎn)程桌面連接訪問Windows Server 2008服務(wù)器系統(tǒng)時，對應(yīng)服務(wù)器系統(tǒng)的運行效率就會受到明顯影響，甚至能發(fā)生無法響應(yīng)的故障現(xiàn)象。為了確保Windows Server 2008服務(wù)器能夠穩(wěn)定運行，我們可以按照下面的操作，來對遠(yuǎn)程桌面連接數(shù)量進(jìn)行適當(dāng)限制：

　　首先以超級用戶身份登錄進(jìn)Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開始”/“程序”/“管理工具”/“終端服務(wù)”/“終端服務(wù)配置”命令，打開對應(yīng)系統(tǒng)的終端服務(wù)配置控制臺窗口;　　其次點選該控制臺窗口左側(cè)顯示區(qū)域中的“授權(quán)診斷”分支選項，在對應(yīng)該分支選項的右側(cè)顯示區(qū)域中，選中“RDP-Tcp”選項，并用鼠標(biāo)右鍵單擊該選項，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開“RDP-Tcp”選項的屬性設(shè)置對話框; www.survivalescaperooms.com 　　接著單擊該屬性設(shè)置對話框中的“網(wǎng)絡(luò)適配器”標(biāo)簽，進(jìn)入如圖6所示的標(biāo)簽設(shè)置頁面，在該設(shè)置頁面的最大連接數(shù)設(shè)置項處，我們可以根據(jù)服務(wù)器系統(tǒng)自身的硬件配置性能進(jìn)行合適設(shè)置，通常將該數(shù)值限制在“10”以下，最后單擊“確定”按鈕就可以了。

　　 　 　當(dāng)然，我們也可以通過修改系統(tǒng)注冊表的方法，來對遠(yuǎn)程桌面連接數(shù)量進(jìn)行適當(dāng)限制;在進(jìn)行這種限制操作時，我們可以依次單擊“開始”/“運行”命令，在系 統(tǒng)運行框中執(zhí)行“regedit”命令，打開服務(wù)器系統(tǒng)的注冊表編輯界面;將鼠標(biāo)定位于該注冊表編輯界面左側(cè)顯示區(qū)域中的 “HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows NT/Terminal Services”分支選項上，在對應(yīng)“Terminal Services”選項的右側(cè)顯示窗格中創(chuàng)建好雙字節(jié)值“MaxInstanceCount”，再將該鍵值的數(shù)值設(shè)置成十進(jìn)制的“10”，最后刷新一下系 統(tǒng)注冊表就可以使設(shè)置生效了。

　　以上就是關(guān)于遠(yuǎn)程桌面功能的安全設(shè)置技巧的內(nèi)容，相信上面的文章會對你有用，錯新技術(shù)頻道網(wǎng)站上有很多這種文章，請大家隨時去閱讀吧!