WindowsServer2008远程桌面策略.docx

Windows Server 2008远程桌面策略远程桌面是管理员对Windows系统实施远程管理和维护的首先工具，当然也是攻击者窥视和企图接管的对象。因此，一个有经验的系统管理员在客户端或者服务器上开启远程桌面后定会进行一定的安全部署。对于Windows Server 2008来说，远程桌面是终端服务的一个功能，Windows Server 2008的安全特性和相关细节，为用户进行远程桌面管理以及提升其安全性提供了更多选项。本文将和大家一道挖掘Windows Server 2008远程桌面管理中的相关技术细节。 　 　1、启用远程桌面时应注意的细节 　在Windows Server 2008中开启远程桌面的操作是非常简单的，但不同于此前的系统它提供了更多的安全选项，这些选项是我们应用注意的。另外，因为Windows Server 2008的安全特性，大家在开启远程桌面前或者开启之后还应用注意有关事项。　(1).慎重选择限制远程连接系统的版本　依次点击 “ 控制面板 ”→“ 系统和维护 ”→“ 系统 ” 进入系统管理页面，单击左窗格中的 “ 远程设置 ” 链接打开 “ 系统属性 ” 对话框，点击 “ 远程 ” 选项卡来到启用远程桌面窗口。对于启用远程桌面大家可谓轻车熟路，但该页面中启用 Windows Server 2008 远程桌面的两个选项希望引起大家的注意。首先是 “ 允许运行任意版本远程桌面的计算机连接 ( 较不安全 ) ” 选项，如果选择该项那么任意版本的 Windows 都可以通过远程桌面连接到该主机，毫无疑问，这是不安全的。在此，管理员应该做考量是否限制远程连接的系统版本以提升远程桌面的安全，一般情况下管理员应该以自己平时使用的系统版本为依据进行选择。另外一个选项是 “ 只允许运行带网络身份验证的远程桌面的计算机连接 ( 更安全 ) ” ，如果选择该项，那么将只允许安装了 Windows Vista 、 Windows Server 2008 、 Windows 7 的计算机进行远程连接。如果条件允许，笔者当然建议大家选择该项，毕竟安全第一嘛。 ( 图 1) 　(2).账户和防火墙相关的注意事项　在Windows Server 2008上开启远程桌面时还需注意，所有远程连接必须使用带有密码的账户创建，如果系统中的某个本地账户没有密码，那么就无法使用该账户进行远程连接。这是一些个人用户经常遇到的问题，明明开启了远程桌面但就是无法通过账户登录。　另外，考虑到 Windows Server 2008 的防火墙非常强大一般用户会选择时系统防火墙，此时如果开启远程桌面的话，系统防火墙会自动创建一个例外，允许远程桌面协议 (RDP) 连接穿透防火墙。默认情况下，该协议使用 TCP 3389 端口，同时在注册表的 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp\\PortNumber 键值中记录了该端口号。出于安全考虑，希望大家将该端口号更改为一个陌生的端口，更改的方法就是修改该注册表键值的值。如果计算机系统使用了其他第三方防火墙，则不行要在该防火墙中打开该端口，以允许建立传入的远程桌面协议 (RDP) 连接。在此提醒的是，允许连接的端口是你更改后的端口而不是此前的 TCP 3389 端口。 ( 图 2) 2、对远程登录用户可采用的授权方法　默认情况下，Administrators组中的所有成员都可以远程登录，同时Windows Server 2008 Active Directory中的Remote Desktop Users组的成员也可以进行远程管理。处于安全考虑，我们必须更改默认授权而实施对特定的用户或者组授权。　(1).在远程桌面控制台中授权　在 Windows Server 2008 的 “ 系统属性 ” 对话框中，单击 “ 远程 ” 选项卡进入远程桌面设置窗口。在开启远程桌面后，单击其中的 “ 选择用户 ” 按钮，随后打开 “ 远程桌面用户 ” 对话框，同时所有 Remote Desktop Users 组的成员都会被列在这里。要添加新的用户或者组到该列表，单击 “ 添加 ” 按钮打开 “ 选择用户或组 ” 对话框。在该对话框中输入所选或默认域中用户或组的名称，然后单击 “ 检查名称 ” 。如果找到了多个匹配项目，则需要选择要使用的名称，然后单击 “ 确定 ” 。当然也可以单击 “ 查找范围 ” 按钮，选择其他位置通过查找功能添加相应的用户。如果还希望添加其他用户或者组，注意在它们直接输入分号 (;) 作为间隔。再次，笔者的建议是：删除对于组的授权，而只授予特定的用户远程连接权