憑借無與倫比的安全優勢,Windows Server 2008系統讓不少朋友在不知不覺中加入了使用行列。不過,這並不意味著Windows Server 2008系統的安全性就能讓人高枕無憂了;這不,當我們開啟了該系統自帶的遠程桌面功能後,Windows Server 2008系統的安全問題隨即就凸顯出來了,如果我們不對遠程桌面功能進行合適設置,那麼Windows Server 2008服務器系統受到非法攻擊的可能性就會加大。為了讓Windows Server 2008系統更安全,本文特意總結幾則遠程桌面功能的安全設置技巧,希望大家能從中獲得啟發! 強迫執行網絡級身份驗證 盡管傳統操作系統也具有遠程桌面功能,不過Windows Server 2008系統對遠程桌面功能的安全性能進行了強化,它允許網絡管理員通過合適設置來強迫遠程桌面連接用戶執行網絡級身份驗證,以防止一些非法用戶也趁機使 用遠程桌面功能來入侵Windows Server 2008服務器系統。要實現強迫遠程桌面連接用戶執行網絡級身份驗證操作時,
我們必須按照如下步驟來設置Windows Server 2008系統的遠程桌面連接參數: 首先以超級用戶的身份登錄進入Windows Server 2008服務器系統,打開對應系統的“開始”菜單,從中依次選擇“程序”、“管理工具”、“服務器管理器”選項,打開本地服務器系統的服務器管理器控制台窗口; 其次將鼠標定位於服務器管理器控制台窗口左側顯示區域中的“服務器管理”節點選項上,在對應“服務器管理”節點選項的右側顯示區域,單擊“服務器摘要”設置區域中的“配置遠程桌面”鏈接,打開服務器系統遠程桌面功能的設置對話框;
在該設置對話框的“遠程桌面”處,服務器系統共為我們提供了三個設置選項,如果我們想讓局域網中的任何一台普通計算機都能順利使用遠程桌面連接來遠程控 制Windows Server 2008服務器系統時,那應該將“允許運行任意版本遠程桌面的計算機連接”功能選項選中,當然這種功能選項容易對Windows Server 2008服務器系統的運行安全性帶來麻煩。
為了讓我們能夠安全地使用遠程桌面功能來遠程控制服務器,Windows Server 2008系統推出了“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”這一控制選項(如圖1所示),我們只要將該控制選項選中,再單擊“確定”按鈕保 存好設置操作,日後Windows Server 2008系統就會自動強制對任何一位遠程桌面連接用戶執行網絡級身份驗證操作了,這樣的話非法用戶自然也就不能輕易通過遠程桌面連接功能來非法攻擊 Windows Server 2008服務器系統了。
只許特定用戶使用遠程桌面 要是開通了Windows Server 2008服務器系統的遠程桌面功能,本地服務器中也就多開了一扇後門,有權限的用戶能進來,沒有權限的用戶同樣也能進來,如此一來本地服務器系統的運行安 全性自然就容易受到威脅。事實上,我們可以對Windows Server 2008服務器系統的遠程桌面功能進行合適設置,讓有遠程管理需求的特定用戶能從遠程桌面這扇後門中進來,其他任何用戶都不允許自由進出,那樣的話 Windows Server 2008服務器系統受到非法攻擊的可能性就會大大降低了;
要想讓特定用戶使用遠程桌面功能,我們可以按照如下操作來設置Windows Server 2008服務器系統:
首先打開Windows Server 2008服務器系統的“開始”菜單,從中依次選擇“程序”、“管理工具”、“服務器管理器”選項,進入本地服務器系統的服務器管理器控制台窗口;
其次單擊服務器管理器控制台窗口右側區域中的“配置遠程桌面”鏈接選項,打開服務器系統遠程桌面功能的設置對話框,單擊該對話框中的“選擇用戶”按鈕,系統屏幕上將會出現如圖2所示的設置窗口;
將該設置窗口中已經存在的用戶賬號一一選中,並單擊“刪除”按鈕;之後,再單擊“添加”按鈕,在其後出現的用戶賬號浏覽對話框中,找到有遠程管理需求的 特定用戶賬號,並將該賬號選中添加進來,再單擊“確定”按鈕退出設置操作,這樣的話任何一位普通用戶日後都不能使用遠程桌面功能來對Windows Server 2008服務器系統進行遠程管理了,而只有在這裡設置的特定用戶才有權限通過遠程桌面連接訪問目標服務器系統。
禁止administrator使用遠程桌面 在缺省狀態下,Windows Server 2008服務器系統允許administrator賬號使用遠程桌面功能,為了防止非法攻擊者嘗試使用該用戶賬號來攻擊本地服務器系統,我們可以按照下面 的操作來禁止administrator賬號通過遠程桌面連接來訪問Windows Server 2008服務器系統: 由於從服務器 系統中無法直接刪除administrator賬號,為此我們可以采用最為極端的方法,那就是將administrator賬號強行禁用;禁用該用戶賬號 最簡單的方法就是先依次單擊服務器系統桌面中的“開始”/“程序”/“附件”選項,從下拉菜單中選中“命令提示符”命令,並用鼠標右鍵單擊該命令選項,再 執行右鍵菜單中的“以管理員身份運行”命令,打開Windows Server 2008系統的MS-DOS工作窗口,在該窗口的命令行中執行字符串命令“net user administrator /active:no”就可以了。
不過,上面的方法往往會影響網絡管理員正常管理服務器系統,
為此我們還可以通過為administrator賬號更名的方式,來禁止administrator使用Windows Server 2008系統的遠程桌面連接:
首先以超級用戶的身份登錄進入Windows Server 2008服務器系統,依次單擊該系統桌面中的“開始”/“運行”命令,在彈出的系統運行對話框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕,打開本地服務器系統的組策略編輯控制台窗口;
其次在該控制台窗口的左側列表區域中,將鼠標定位於“計算機配置”分支選項上,再從該分支下面依次展開“Windows設置”/“安全設置”/“本地策 略”/“安全選項”,在對應“安全選項”的右側顯示區域中,雙擊“帳戶:重命名系統管理員”目標組策略選項,打開如圖3所示的選項設置窗口,在該窗口中我 們就能將administrator的名稱修改成其他人不容易猜中的賬號名稱,最後單擊“確定”按鈕就能使設置生效了。
當然,我們也可以通過將administrator賬號的終端登錄權限取消的方法,來達到禁止administrator使用遠程桌面功能的目的;在取 消administrator賬號的終端登錄權限時,我們可以先按前面操作打開服務器系統的組策略編輯控制台窗口,將鼠標定位於組策略編輯控制台窗口左側 區域中的“計算機配置”分支選項上,再從該分支下面依次展開“Windows設置”/“安全設置”/“本地策略”/“用戶權限分配”子項,在對應“用戶權 限分配”子項的右側顯示區域中,雙擊目標組策略選項“通過終端服務允許登錄”,在其後彈出的窗口中將administrators賬號刪除掉,如此一來, 當非法用戶嘗試使用administrator賬號遠程連接Windows Server 2008服務器系統時,就會出現拒絕登錄的報警提示。
只許特定計算機使用遠程桌面 有的時候,為了防止局域網中的計算機病毒隨意通過遠程桌面連接傳染給Windows Server 2008服務器系統,我們需要限定任何用戶只能從局域網中特定的安全計算機上使用遠程桌面功能,來遠程控制目標服務器系統。
為了實現只許特定計算機使用遠 程桌面與Windows Server 2008服務器系統建立連接的目的,我們可以按照如下步驟來設置本地服務器系統:
首先以系統管理員權限登錄進入Windows Server 2008服務器系統,依次單擊“開始”/“運行”命令,打開系統運行文本框,在其中輸入“gpedit.msc”字符串命令,單擊“確定”按鈕,打開組策略編輯控制台窗口; 其次在該控制台窗口的左側顯示區域中,將鼠標定位於“計算機配置”分支選項上,再從該分支下面依次展開“管理模板”/“網絡”/“網絡連接” /“Windows防火牆”/“標准配置文件”子項,找到“標准配置文件”子項下面的“Windows防火牆:允許入站遠程管理例外”目標組策略項目,用 鼠標雙擊該項目,打開如圖4所示的屬性設置界面;
下面將該設置界面中的“已啟用”項目選中,並且在其後自動激活的“允許來自這些IP地址的未經請求的傳入消息”文本框中輸入安全的特定計算機IP地址, 再單擊“確定”按鈕完成設置操作,這樣的話任何用戶日後只能從這裡指定的普通計算機上使用遠程桌面功能來遠程控制Windows Server 2008服務器系統了。 www.jb51.net 禁止所有計算機使用遠程桌面 在排查網絡故障的時候,我們有時
需要臨時禁止局域網中的所有計算機與Windows Server 2008服務器系統建立遠程桌面連接,實現這種控制目的的方法有很多,不過最為簡單的方法,就是利用服務器系統內置防火牆功能來快速禁止Windows Server 2008系統的遠程桌面訪問網絡,下面就是具體的限制步驟:
首先打開Windows Server 2008服務器系統桌面的“開始”菜單,從中依次單擊“設置”/“控制面板”選項,在彈出的系統控制面板窗口中,雙擊Windows防火牆選項,在其後彈 出的窗口中單擊左側區域中的“啟用或關閉Windows防火牆”鏈接,進入Windows Server 2008系統的防火牆基本配置窗口; 接著單擊基本配置窗口中的“例外”選項卡,打開如圖5所示的選項設置頁面,將該頁面中的“遠程桌面”選項取消選中,再單擊“確定”按鈕關閉設置頁面,如 此一來局域網中的任意一台計算機再次嘗試與Windows Server 2008服務器系統建立遠程桌面連接時,都會被對應系統中的內置防火牆程序強行禁止掉了。
對遠程桌面連接適當限制 大家知道,如果在某一段時間內同時有若干個遠程桌面連接訪問Windows Server 2008服務器系統時,對應服務器系統的運行效率就會受到明顯影響,甚至能發生無法響應的故障現象。為了確保Windows Server 2008服務器能夠穩定運行,我們可以按照下面的操作,來對遠程桌面連接數量進行適當限制:
首先以超級用戶身份登錄進Windows Server 2008服務器系統,依次單擊“開始”/“程序”/“管理工具”/“終端服務”/“終端服務配置”命令,打開對應系統的終端服務配置控制台窗口; 其次點選該控制台窗口左側顯示區域中的“授權診斷”分支選項,在對應該分支選項的右側顯示區域中,選中“RDP-Tcp”選項,並用鼠標右鍵單擊該選項,從彈出的快捷菜單中執行“屬性”命令,打開“RDP-Tcp”選項的屬性設置對話框; www.jb51.net 接著單擊該屬性設置對話框中的“網絡適配器”標簽,進入如圖6所示的標簽設置頁面,在該設置頁面的最大連接數設置項處,我們可以根據服務器系統自身的硬件配置性能進行合適設置,通常將該數值限制在“10”以下,最後單擊“確定”按鈕就可以了。
當然,我們也可以通過修改系統注冊表的方法,來對遠程桌面連接數量進行適當限制;在進行這種限制操作時,我們可以依次單擊“開始”/“運行”命令,在系 統運行框中執行“regedit”命令,打開服務器系統的注冊表編輯界面;將鼠標定位於該注冊表編輯界面左側顯示區域中的 “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”分支選項上,在對應“Terminal Services”選項的右側顯示窗格中創建好雙字節值“MaxInstanceCount”,再將該鍵值的數值設置成十進制的“10”,最後刷新一下系 統注冊表就可以使設置生效了。 作者 張毅