Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows 2003系統教程 >> Windows 2003常見問題解答 >> 從細節加強Server 2008服務器遠程桌面

從細節加強Server 2008服務器遠程桌面

日期:2017/1/25 11:53:35      編輯:Windows 2003常見問題解答

遠程桌面是管理員對Windows系統實施遠程管理和維護的首先工具,當然也是攻擊者窺視和企圖接管的對象。因此,一個有經驗的系統管理員在客戶端或者服務器上開啟遠程桌面後定會進行一定的安全部署。對於Windows Server 2008來說,遠程桌面是終端服務的一個功能,Windows Server 2008的安全特性和相關細節,為用戶進行遠程桌面管理以及提升其安全性提供了更多選項。本文將和大家一道挖掘Windows Server 2008遠程桌面管理中的相關技術細節。

  1、啟用遠程桌面時應注意的細節

  在Windows Server 2008中開啟遠程桌面的操作是非常簡單的,但不同於此前的系統它提供了更多的安全選項,這些選項是我們應用注意的。另外,因為Windows Server 2008的安全特性,大家在開啟遠程桌面前或者開啟之後還應用注意有關事項。

  (1).慎重選擇限制遠程連接系統的版本

  依次點擊“控制面板”→“系統和維護”→“系統”進入系統管理頁面,單擊左窗格中的“遠程設置”鏈接打開“系統屬性”對話框,點擊“遠程”選項卡來到啟用遠程桌面窗口。對於啟用遠程桌面大家可謂輕車熟路,但該頁面中啟用Windows Server 2008遠程桌面的兩個選項希望引起大家的注意。首先是“允許運行任意版本遠程桌面的計算機連接(較不安全)”選項,如果選擇該項那麼任意版本的Windows都可以通過遠程桌面連接到該主機,毫無疑問,這是不安全的。在此,管理員應該做考量是否限制遠程連接的系統版本以提升遠程桌面的安全,一般情況下管理員應該以自己平時使用的系統版本為依據進行選擇。另外一個選項是“只允許運行帶網絡身份驗證的遠程桌面的計算機連接(更安全)”,如果選擇該項,那麼將只允許安裝了Windows Vista、Windows Server 2008、Windows 7的計算機進行遠程連接。如果條件允許,筆者當然建議大家選擇該項,畢竟安全第一嘛。(圖1)

 

  (2).賬戶和防火牆相關的注意事項

  在Windows Server 2008上開啟遠程桌面時還需注意,所有遠程連接必須使用帶有密碼的賬戶創建,如果系統中的某個本地賬戶沒有密碼,那麼就無法使用該賬戶進行遠程連接。這是一些個人用戶經常遇到的問題,明明開啟了遠程桌面但就是無法通過賬戶登錄。

  另外,考慮到Windows Server 2008的防火牆非常強大一般用戶會選擇時系統防火牆,此時如果開啟遠程桌面的話,系統防火牆會自動創建一個例外,允許遠程桌面協議(RDP)連接穿透防火牆。默認情況下,該協議使用TCP 3389端口,同時在注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber鍵值中記錄了該端口號。出於安全考慮,希望大家將該端口號更改為一個陌生的端口,更改的方法就是修改該注冊表鍵值的值。如果計算機系統使用了其他第三方防火牆,則不行要在該防火牆中打開該端口,以允許建立傳入的遠程桌面協議(RDP)連接。在此提醒的是,允許連接的端口是你更改後的端口而不是此前的TCP 3389端口。(圖2)


 

2、對遠程登錄用戶可采用的授權方法

  默認情況下,Administrators組中的所有成員都可以遠程登錄,同時Windows Server 2008 Active Directory中的Remote Desktop Users組的成員也可以進行遠程管理。處於安全考慮,我們必須更改默認授權而實施對特定的用戶或者組授權。

  (1).在遠程桌面控制台中授權

  在Windows Server 2008的“系統屬性”對話框中,單擊“遠程”選項卡進入遠程桌面設置窗口。在開啟遠程桌面後,單擊其中的“選擇用戶”按鈕,隨後打開“遠程桌面用戶”對話框,同時所有Remote Desktop Users組的成員都會被列在這裡。要添加新的用戶或者組到該列表,單擊“添加”按鈕打開“選擇用戶或組”對話框。在該對話框中輸入所選或默認域中用戶或組的名稱,然後單擊“檢查名稱”。如果找到了多個匹配項目,則需要選擇要使用的名稱,然後單擊“確定”。當然也可以單擊“查找范圍”按鈕,選擇其他位置通過查找功能添加相應的用戶。如果還希望添加其他用戶或者組,注意在它們直接輸入分號(;)作為間隔。再次,筆者的建議是:刪除對於組的授權,而只授予特定的用戶遠程連接權限。這樣就會增加攻擊者猜解用戶賬戶的難度,從而提升了遠程桌面的安全。作為一個安全技巧,大家可以取消administrator賬戶的遠程連接權限,而賦予其他對於攻擊者來說比較陌生的賬戶的遠程連接權限。(圖3)

 

 (2).通過組策略限制遠程登錄

  在組策略中,Administrators和Remote Desktop Users組的成員默認具有“允許通過終端服務登錄”的用戶權限。如果修改過組策略,可能需要復查,以確保這個用戶權限依然被分配給這些組。一般來說,可以針對具體的計算機復查設置,但也可以通過站點、域已經組織單元策略進行復查。打開相應的組策略對象,然後依次展開“計算機配置”→“Windows 設置”→“安全設置”→“本地策略”→“用權限指派”,雙擊“通過終端服務允許登錄”策略,查看要使用的用戶和組是否在列。(圖4)

 

 如果希望限制用戶對服務器進行遠程登錄,可以打開相應的組策略對象,展開“計算機配置”→“Windows 設置”→“安全設置”→“本地策略”→“用權限指派” 節點,雙擊“通過終端服務拒絕登錄”策略。在該策略的屬性對話框中,選擇“拒絕這些策略設置”,然後單擊“添加用戶或組”,在添加用戶或組對話框中,單擊“浏覽”,並使用選擇用戶、計算機或組對話框輸入希望拒絕通過終端服務進行本地登錄的用戶或組的名稱,然後單擊“確定”即可。另外,也可以在終端服務配置工具中修改組的默認權限。例如,可以將對終端訪問對象具有完全控制權限的Administrators組刪除。(圖5)


 

3、在組策略中配置遠程桌面管理

  遠程桌面管理是終端服務的一部分,當然也可使用組策略配置遠程桌面。其實,微軟也建議首先使用組策略作為終端服務和遠程桌面管理功能的首選工具。在實戰中,我們可以針對特定的計算機配置本地策略,或在域中的組織單元(OU)上設置。我們可以使用組策略對象編輯器進行修改,定位到“計算機配置”→“管理模板”→“Windows 組件”→“終端服務”節點以及“用戶配置”→“管理模板”→“Windows 組件”→“終端服務”節點下進行設置。該節點下有6個配置項目,大家可以根據需要進行配置。一般來說,遠程桌面管理都用於對企業內部的服務器進行管理,但終端服務服務器通常都會使用獨立的OU被隔離在特定的組中。因此如果打算在企業內部使用終端服務服務器,則應該考慮為終端服務服務器創建獨立的OU,這樣就可以通過遠程桌面單獨管理終端服務服務器。

 4、遠程桌面連接客戶端設置技巧

  Windows Server 2008使用的遠程桌面連接客戶端(mstsc)是最新的第6版本,這個版本的連接客戶端相比以前的版本有了較大的改進,增加了許多有趣而實用的功能。下面和大家共享幾個使用mstsc進程遠程桌面連接中的相關技巧。

  (1).自定義顯示分辨率

  Windows Server 2008中的mstsc支持高達1680×1920或1920×1200或更高的分辨率。除了可以在mstsc的圖形界面中設置分辨率外,當然最快捷的是直接通過命令設置。比如我們運行“mstsc /w:1920 /h:1200”即將客戶端的分辨率設置為1920×1200,其中/h、/w是參數分別表示屏幕的高和寬。如果大家將某次桌面連接配置保存為RDP文件,我們可以打開該文件然後修改其中的desktopwidth和desktopheigh後面數值以改變屏幕大小。例如desktopwidth:i:1920或desktopheigh:i:1200。(圖7)

 

  (2).在遠程桌面中使用多顯示器

  Windows Server 2008中的mstsc支持多顯示器,這樣就能夠顯示遠程會話的所有內容。需要說明的是:要使用多顯示器,那麼這些顯示器必須水平對齊,並使用同樣的分辨率。要使用遠程桌面的多顯示器跨越功能,需要在mstsc中添加/span參數,例如“mstsc /span”。當然,我們也可以通過修改RDP文件中的特定數值實現顯示器跨越,比如“Span:i:1”

  (3).調整傳輸數據的優先級

  Windows Server 2008中的mstsc在顯示遠程系統的數據方面是有一定的優先級的。我們希望的優先級是:顯示器、鍵盤和鼠標的相關數據比其他類型的數據,比如打印機或文件傳輸更優先處理。默認情況下,顯示器和輸入數據將占可以帶寬的70%,而其他通信只占可以帶寬的30%。在某些特殊情況下,我們需要調整這個默認的優先級以符合我們的特殊需求。要修改這個優先級就需要在Windows Server 2008的注冊表中進行修改,其注冊表項是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servers\TermDD。需要條的子鍵是(如果沒有這些鍵值可以自己創建,這些鍵值都是32位的DWORD值):

  FlowControlDisable 將其值設置為“1”就會禁止顯示數據的優先級,反之,所有不同的數據就請求都會被同等對待,其他是注冊表值就會被忽略。

  FlowControlDisplayBandWidth 該鍵值設置相對帶寬優先級的比例,其默認值是70,最大允許的數值是255。

  FlowControlChannelBandWidth 該鍵值設置其他數據比如打印機、文件傳輸等占用的可以帶寬比例,其默認值是30,最大可以設置為255。

  FlowControlChargePostCompression 該鍵值決定是否要根據演示前和壓縮後的數據大小決定帶寬的分配,默認值是“0”,意味著比例的計算是根據壓縮前數據的大小進行的。大多數情況下,我們希望以這種方式進行,因為這樣確保了客戶端不要在發送數據前等待數據壓縮完畢,節省了時間。(圖8)

 

 (4).選擇連接客戶端啟動的方式

  Windows Server 2008中啟動遠程桌面連接客戶端可采用兩種方式,即管理模式和虛擬會話模式。相比虛擬會話模式,管理模式能夠極大地改善管理員成功執行程序、應用程序和進程的成功率。因此,作為管理員建議采用管理模式啟動遠程連接客戶端。下面筆者分別說說這兩種連接方式如何啟動。

  運行於虛擬會話模式

  虛擬會話模式可被管理員和其他用戶用於在遠程系統上啟動虛擬會話。要運行虛擬會話模式可執行下面的操作:在命令行或者運行對話框中運行命令“mstsc”,或者單擊“開始”→“所有程序”→“附件”,然後選擇“遠程桌面連接”選項即可啟動虛擬模式的遠程桌面連接客戶端。

  運行於管理模式

  管理模式可被管理員用於與遠程系統的控制台進行完全的交互。要運行管理模式的客戶端,必須根據客戶端的類型進行下列操作:在命令行或者運行對話框中執行“mstsc /admin”或者“mstsc /console”。(圖9)


 

5、遠程登錄用戶的監視

  Windows Server 2008是允許有多個用戶同時通過遠程桌面連接的,因此管理員一定要做好遠程登錄用戶的監控,以甄別是否有可疑或者非法的遠程連接。除了可以使用終端服務管理器查看登錄會話外,我們還可以通過兩種方法來監控遠程登錄的用戶。

  首先的使用quser命令,通過telnet連接到該服務器或在本地命令行先執行命令quser命令即可看到誰已經登錄當前系統。或者我們也可以運行命令“quser /server:ServerName”來查看登錄到遠程服務器上的用戶,其中ServerName的服務器的名稱。如圖所示,該服務器上有兩個活動的會話,其中ctocio登錄到了一個活動的RDP會話,會話ID是2,意味著是會話2。administrator登錄到了本地控制台,會話ID是2,即會話1。(圖10)

 

 在此,筆者和大家共享一個技巧。有時候當有多個用戶通過遠程桌面登錄到服務器,但並沒有有效注銷,此時當有其他的用戶要通過遠程桌面登錄到服務器時會因為用戶連接超過授權數而無法登錄。此時,我們就可遠程telnet到服務器或者在服務器的命令提示符中執行命令“logoff ID”來注銷某個用戶,其中ID就是會話序號,比如執行“logoff 2”就將強迫ctocio用戶從系統注銷。這樣,其他的用戶就可以通過遠程桌面登錄系統了。(圖11)

 

 除了命令外,我們還可以通過“任務管理器”查看用戶會話。單擊任務欄選擇“任務管理”即可打開任務管理器窗口,點擊“用戶”選項卡可以看到當前登錄服務器的用戶。在此,我們可以對特定用戶執行“斷開”、“注銷”操作,當然也可以“發送消息”。(圖12)

 

 筆者這裡要強調一下,注銷用戶和斷開用戶是是完全不同的。如果斷開一個會話,這會話將處於斷開狀態,但依然會在進程中執行。如果注銷用戶,則會結束該用戶的會話,同時關閉該用戶運行的所有應用程序,同時還會結束該用戶運行的所有前台進程。筆者建議,管理員在遠程維護完成後最好以“注銷”的方式斷開和服務器的連接。這樣不僅會釋放服務器資源,而且方便下一次的登錄。往往有不少用戶在遠程登錄完成後會直接關閉遠程桌面客戶端窗口,這樣的操作就類似“斷開”操作,它還占用著服務器會話通道,當達到服務器的用戶授權上限時其他用戶就不能夠遠程登錄到服務器。


 

6、解惑遠程登錄驗證證書無效或者過期

  有時候當我們通過遠程桌面客戶端連接服務器時,會收到“從遠程計算機獲得的驗證證書無效或過期”的錯誤提示,這時什麼原因呢?其實,在默認情況下在建立RDP連接之前,計算機還需要驗證遠程計算機的身份。如果遠程計算機的驗證證書無效或者過期,將無法連接,同時還會受到類似的警告信息。對此,我們首先應該檢查一下兩台計算機的日期和時間設置是否正確。因為如果兩台計算機之間的時間和日期有偏差,則可能會導致驗證證書無效。當然,如果不希望計算機驗證遠程計算機的身份,我們可以禁用該功能。其具體設置方法是:在遠程桌面連接器窗口中單擊“選項”打開額外配置選項卡,進入高級選項卡,然後設置服務器驗證選項為“連接並且不向我發送警告”即可。(圖13)

 

 總結:本文和大家共享了Windows Server 2008遠程桌面管理中容易被忽略某些技術細節,同時也和朋友們分享了筆者的一些經驗。最後希望這些細節和經驗能夠對大家有所幫助。


 

Copyright © Windows教程網 All Rights Reserved