遠(yuǎn)程桌面是管理員對Windows系統(tǒng)實施遠(yuǎn)程管理和維護的首先工具�����,當(dāng)然也是攻擊者窺視和企圖接管的對象��。因此��,一個有經(jīng)驗的系統(tǒng)管理員在客戶端或者服務(wù)器上開啟遠(yuǎn)程桌面后定會進(jìn)行一定的安全部署��。對于Windows Server 2008來說��,遠(yuǎn)程桌面是終端服務(wù)的一個功能���,Windows Server 2008的安全特性和相關(guān)細(xì)節(jié),為用戶進(jìn)行遠(yuǎn)程桌面管理以及提升其安全性提供了更多選項����。本文將和大家一道挖掘Windows Server 2008遠(yuǎn)程桌面管理中的相關(guān)技術(shù)細(xì)節(jié)�����。
1�����、啟用遠(yuǎn)程桌面時應(yīng)注意的細(xì)節(jié)
在Windows Server 2008中開啟遠(yuǎn)程桌面的操作是非常簡單的��,但不同于此前的系統(tǒng)它提供了更多的安全選項����,這些選項是我們應(yīng)用注意的�。另外,因為Windows Server 2008的安全特性�����,大家在開啟遠(yuǎn)程桌面前或者開啟之后還應(yīng)用注意有關(guān)事項�����。
(1).慎重選擇限制遠(yuǎn)程連接系統(tǒng)的版本
依次點擊"控制面板"→"系統(tǒng)和維護"→"系統(tǒng)"進(jìn)入系統(tǒng)管理頁面,單擊左窗格中的"遠(yuǎn)程設(shè)置"鏈接打開"系統(tǒng)屬性"對話框�����,點擊"遠(yuǎn)程"選項卡來到啟用遠(yuǎn)程桌面窗口���。對于啟用遠(yuǎn)程桌面大家可謂輕車熟路,但該頁面中啟用Windows Server 2008遠(yuǎn)程桌面的兩個選項希望引起大家的注意�。首先是"允許運行任意版本遠(yuǎn)程桌面的計算機連接(較不安全)"選項,如果選擇該項那么任意版本的Windows都可以通過遠(yuǎn)程桌面連接到該主機��,毫無疑問���,這是不安全的����。在此����,管理員應(yīng)該做考量是否限制遠(yuǎn)程連接的系統(tǒng)版本以提升遠(yuǎn)程桌面的安全,一般情況下管理員應(yīng)該以自己平時使用的系統(tǒng)版本為依據(jù)進(jìn)行選擇���。另外一個選項是"只允許運行帶網(wǎng)絡(luò)身份驗證的遠(yuǎn)程桌面的計算機連接(更安全)"���,如果選擇該項���,那么將只允許安裝了Windows Vista、Windows Server 2008�����、Windows 7的計算機進(jìn)行遠(yuǎn)程連接�����。如果條件允許�����,筆者當(dāng)然建議大家選擇該項�,畢竟安全第一嘛。
?
(2).賬戶和防火墻相關(guān)的注意事項
在Windows Server 2008上開啟遠(yuǎn)程桌面時還需注意����,所有遠(yuǎn)程連接必須使用帶有密碼的賬戶創(chuàng)建,如果系統(tǒng)中的某個本地賬戶沒有密碼����,那么就無法使用該賬戶進(jìn)行遠(yuǎn)程連接��。這是一些個人用戶經(jīng)常遇到的問題�����,明明開啟了遠(yuǎn)程桌面但就是無法通過賬戶登錄�����。
另外,考慮到Windows Server 2008的防火墻非常強大一般用戶會選擇時系統(tǒng)防火墻�,此時如果開啟遠(yuǎn)程桌面的話,系統(tǒng)防火墻會自動創(chuàng)建一個例外���,允許遠(yuǎn)程桌面協(xié)議(RDP)連接穿透防火墻�。默認(rèn)情況下��,該協(xié)議使用TCP 3389端口�����,同時在注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber鍵值中記錄了該端口號�。出于安全考慮,希望大家將該端口號更改為一個陌生的端口����,更改的方法就是修改該注冊表鍵值的值��。如果計算機系統(tǒng)使用了其他第三方防火墻�����,則不行要在該防火墻中打開該端口����,以允許建立傳入的遠(yuǎn)程桌面協(xié)議(RDP)連接��。在此提醒的是��,允許連接的端口是你更改后的端口而不是此前的TCP 3389端口���。
?
2�����、對遠(yuǎn)程登錄用戶可采用的授權(quán)方法
默認(rèn)情況下�,Administrators組中的所有成員都可以遠(yuǎn)程登錄���,同時Windows Server 2008 Active Directory中的Remote Desktop Users組的成員也可以進(jìn)行遠(yuǎn)程管理�����。處于安全考慮��,我們必須更改默認(rèn)授權(quán)而實施對特定的用戶或者組授權(quán)�����。
(1).在遠(yuǎn)程桌面控制臺中授權(quán)
在Windows Server 2008的"系統(tǒng)屬性"對話框中�����,單擊"遠(yuǎn)程"選項卡進(jìn)入遠(yuǎn)程桌面設(shè)置窗口�����。在開啟遠(yuǎn)程桌面后��,單擊其中的"選擇用戶"按鈕����,隨后打開"遠(yuǎn)程桌面用戶"對話框��,同時所有Remote Desktop Users組的成員都會被列在這里��。要添加新的用戶或者組到該列表,單擊"添加"按鈕打開"選擇用戶或組"對話框��。在該對話框中輸入所選或默認(rèn)域中用戶或組的名稱�,然后單擊"檢查名稱"。如果找到了多個匹配項目��,則需要選擇要使用的名稱���,然后單擊"確定"�。當(dāng)然也可以單擊"查找范圍"按鈕�,選擇其他位置通過查找功能添加相應(yīng)的用戶。如果還希望添加其他用戶或者組����,注意在它們直接輸入分號(;)作為間隔。再次����,筆者的建議是:刪除對于組的授權(quán),而只授予特定的用戶遠(yuǎn)程連接權(quán)限�。這樣就會增加攻擊者猜解用戶賬戶的難度,從而提升了遠(yuǎn)程桌面的安全����。作為一個安全技巧���,大家可以取消administrator賬戶的遠(yuǎn)程連接權(quán)限,而賦予其他對于攻擊者來說比較陌生的賬戶的遠(yuǎn)程連接權(quán)限�����。
?
(2).通過組策略限制遠(yuǎn)程登錄
在組策略中�����,Administrators和Remote Desktop Users組的成員默認(rèn)具有"允許通過終端服務(wù)登錄"的用戶權(quán)限����。如果修改過組策略,可能需要復(fù)查��,以確保這個用戶權(quán)限依然被分配給這些組��。一般來說�,可以針對具體的計算機復(fù)查設(shè)置���,但也可以通過站點�����、域已經(jīng)組織單元策略進(jìn)行復(fù)查��。打開相應(yīng)的組策略對象�����,然后依次展開"計算機配置"→"Windows 設(shè)置"→"安全設(shè)置"→"本地策略"→"用權(quán)限指派"���,雙擊"通過終端服務(wù)允許登錄"策略��,查看要使用的用戶和組是否在列�。
?
如果希望限制用戶對服務(wù)器進(jìn)行遠(yuǎn)程登錄����,可以打開相應(yīng)的組策略對象,展開"計算機配置"→"Windows 設(shè)置"→"安全設(shè)置"→"本地策略"→"用權(quán)限指派" 節(jié)點���,雙擊"通過終端服務(wù)拒絕登錄"策略��。在該策略的屬性對話框中�,選擇"拒絕這些策略設(shè)置"���,然后單擊"添加用戶或組"�,在添加用戶或組對話框中,單擊"瀏覽"���,并使用選擇用戶��、計算機或組對話框輸入希望拒絕通過終端服務(wù)進(jìn)行本地登錄的用戶或組的名稱�,然后單擊"確定"即可���。另外�,也可以在終端服務(wù)配置工具中修改組的默認(rèn)權(quán)限���。例如����,可以將對終端訪問對象具有完全控制權(quán)限的Administrators組刪除���。
?
3�����、在組策略中配置遠(yuǎn)程桌面管理
遠(yuǎn)程桌面管理是終端服務(wù)的一部分,當(dāng)然也可使用組策略配置遠(yuǎn)程桌面。其實���,微軟也建議首先使用組策略作為終端服務(wù)和遠(yuǎn)程桌面管理功能的首選工具��。在實戰(zhàn)中����,我們可以針對特定的計算機配置本地策略�,或在域中的組織單元(OU)上設(shè)置。我們可以使用組策略對象編輯器進(jìn)行修改����,定位到"計算機配置"→"管理模板"→"Windows 組件"→"終端服務(wù)"節(jié)點以及"用戶配置"→"管理模板"→"Windows 組件"→"終端服務(wù)"節(jié)點下進(jìn)行設(shè)置。該節(jié)點下有6個配置項目����,大家可以根據(jù)需要進(jìn)行配置。一般來說��,遠(yuǎn)程桌面管理都用于對企業(yè)內(nèi)部的服務(wù)器進(jìn)行管理��,但終端服務(wù)服務(wù)器通常都會使用獨立的OU被隔離在特定的組中���。因此如果打算在企業(yè)內(nèi)部使用終端服務(wù)服務(wù)器�,則應(yīng)該考慮為終端服務(wù)服務(wù)器創(chuàng)建獨立的OU,這樣就可以通過遠(yuǎn)程桌面單獨管理終端服務(wù)服務(wù)器��。
?
4���、遠(yuǎn)程桌面連接客戶端設(shè)置技巧
Windows Server 2008使用的遠(yuǎn)程桌面連接客戶端(mstsc)是最新的第6版本�,這個版本的連接客戶端相比以前的版本有了較大的改進(jìn),增加了許多有趣而實用的功能。下面和大家共享幾個使用mstsc進(jìn)程遠(yuǎn)程桌面連接中的相關(guān)技巧����。
(1).自定義顯示分辨率
Windows Server 2008中的mstsc支持高達(dá)1680×1920或1920×1200或更高的分辨率��。除了可以在mstsc的圖形界面中設(shè)置分辨率外�����,當(dāng)然最快捷的是直接通過命令設(shè)置���。比如我們運行"mstsc /w:1920 /h:1200"即將客戶端的分辨率設(shè)置為1920×1200,其中/h�、/w是參數(shù)分別表示屏幕的高和寬。如果大家將某次桌面連接配置保存為RDP文件���,我們可以打開該文件然后修改其中的desktopwidth和desktopheigh后面數(shù)值以改變屏幕大小�。例如desktopwidth:i:1920或desktopheigh:i:1200�����。
?
(2).在遠(yuǎn)程桌面中使用多顯示器
Windows Server 2008中的mstsc支持多顯示器��,這樣就能夠顯示遠(yuǎn)程會話的所有內(nèi)容�����。需要說明的是:要使用多顯示器�,那么這些顯示器必須水平對齊,并使用同樣的分辨率���。要使用遠(yuǎn)程桌面的多顯示器跨越功能�,需要在mstsc中添加/span參數(shù)���,例如"mstsc /span"��。當(dāng)然����,我們也可以通過修改RDP文件中的特定數(shù)值實現(xiàn)顯示器跨越�����,比如"Span:i:1"
(3).調(diào)整傳輸數(shù)據(jù)的優(yōu)先級
Windows Server 2008中的mstsc在顯示遠(yuǎn)程系統(tǒng)的數(shù)據(jù)方面是有一定的優(yōu)先級的。我們希望的優(yōu)先級是:顯示器����、鍵盤和鼠標(biāo)的相關(guān)數(shù)據(jù)比其他類型的數(shù)據(jù),比如打印機或文件傳輸更優(yōu)先處理���。默認(rèn)情況下�����,顯示器和輸入數(shù)據(jù)將占可以帶寬的70%��,而其他通信只占可以帶寬的30%��。在某些特殊情況下�,我們需要調(diào)整這個默認(rèn)的優(yōu)先級以符合我們的特殊需求�。要修改這個優(yōu)先級就需要在Windows Server 2008的注冊表中進(jìn)行修改,其注冊表項是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servers\TermDD�。需要條的子鍵是(如果沒有這些鍵值可以自己創(chuàng)建,這些鍵值都是32位的DWORD值):
FlowControlDisable 將其值設(shè)置為"1"就會禁止顯示數(shù)據(jù)的優(yōu)先級����,反之���,所有不同的數(shù)據(jù)就請求都會被同等對待,其他是注冊表值就會被忽略���。
FlowControlDisplayBandWidth 該鍵值設(shè)置相對帶寬優(yōu)先級的比例,其默認(rèn)值是70���,最大允許的數(shù)值是255�。
FlowControlChannelBandWidth 該鍵值設(shè)置其他數(shù)據(jù)比如打印機��、文件傳輸?shù)日加玫目梢詭挶壤?����,其默認(rèn)值是30���,最大可以設(shè)置為255����。
FlowControlChargePostCompression 該鍵值決定是否要根據(jù)演示前和壓縮后的數(shù)據(jù)大小
關(guān)鍵詞標(biāo)簽:Server 2008服務(wù)器,遠(yuǎn)
火絨安全軟件開啟懸浮窗的方法-怎么限制和設(shè)置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設(shè)置廣告攔截的方法
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程