2023年11月27日发(作者:)

远程桌面的应用及安全设置

“远程桌面”本质上是一个单用户的终端服务会话,它使用RDP协议与运行“Windows

Server2008”的主机进行通讯,远程用户访问的应用程序在这个主机系统上运行,只有键盘

和鼠标的输入信号及视频的输出信号在主机系统之间进行传递。由于“远程桌面”会话传递

的数据量非常有限,所以它可以有效地利用网络带宽并应用于各类网络环境,包括拨号连接

和广域网连接。使用“远程桌面连接”,可以很容易地连接到网络服务器或其他运行远程桌

面的计算机,操作远程的电脑为你收发邮件、查看报表、传送文件、安装及删除软件、进行

用户管理、系统维护更新等等,就像实际操作自己面前那台计算机一样,可以大大提高工作

的效率。

Windows XPWindows Server 2003Windows Server2008系统集成有远程桌面连

接工具,其它Windows平台(Windows 2000Windows MeWindows NTWindows 9X)

以通过运行“远程桌面”的客户端软件——“远程桌面连接”来实现远程管理网络服务器。

1.远程管理设置

网络管理员要对网络中的服务器进行远程管理的控制,必须在服务器端启用“远程

桌面”功能,在客户端通过“远程桌面连接”来登录网络服务器。实现远程管理。

11服务器设置

只有启用服务器上的“远程桌面”功能,才能从其他计算机上对其进行远程控制。

以管理员或Administrators组成员的身份进行登录到WindowsServer 2008服务器,接着用

鼠标右键单击“计算机”,打开“系统属性”窗口,选择“远程”选项卡。在“远程桌面”

选项框中,选中“允许运行任意版本远程桌面的计算机连接”或“只允许运行带网络级身份

验证的远程桌面的计算机连接(更安全)”。选择“允许运行任意版本远程桌面的计算机连

接”可以允许使用任意版本的远程桌面或TS RemoteApp的人连接到服务器。选择“只允许

运行带网络级身份验证的远程桌面的计算机连接”,可以允许运行Windows?Vista

Windows Server 2008的计算机连接到服务器。

此外,还需为相应用于远程连接的用户配置远程连接权限。默认情况下,

Administrators组及“Remote Desktop Users”组的成员可远程连接到服务器,但在默认

情况下。“Remote Desktop Users”组未添加成员,所以如果想添加其他用户。而又不想赋

予他系统管理员那么高的权限。则您必须把他添加到这个组中。“Remote Desktop Users”

组除了允许与Users组相同的访问权限外。还具备远程连接的其他能力。通过使用该组,

以在无需分别为每个用户设置这些权利的情况下,保存管理资源。

12客户端设置

要实现远程管理网络主机,客户端必须运行“远程桌面连接”程序,以登录到服务

器,对服务器进行管理和控制。

Windows XPWindows Server 2003WindowsVistaWindows server 2008系统都

内置了一个“远程桌面”的客户端程序,即“远程桌面连接”(mstsc.exe)

在客户机单击“开始”-“所有程序”-“附件”-“通讯”-“远程桌面连接”,输

入远程连接的计算机名或IP地址、进行远程连接的用户账户、密码和所在域。注意所输入

的用户账户一定是前面已配置具有远程连接权限的。设置连接的其他属性,单击“确定”即

可进行远程连接。

2.远程管理的安全措施

“远程桌面”系统如些便利,如何设置才能加强远程连接和安全呢?我们可以通过以

下措施来保证远程管理的安全。

21通过组策略设置来实现

启用以下本地或域组的安全策略来保证“远程桌面”的安全性:

·要求最大许可的加密级别

·登录时要求密码验证

·禁用文件重定向

·禁用打印机重定向

·禁用剪贴板共享

为了控制会话的加密级别,可打开“组策略编辑器”,导航到“计算机配置”-“策

略”-“管理模板”-“Windows组件”-“终端服务”-“终端服务器”-“安全”,如图1

所示,单击“设置客户端连接加密级别”,选择你所需要的加密级别,“客户端兼容”为强

制双方使用与客户端兼容的最高加密级别进行连接,“高级别”为禁止与不支持128位加密

级别的设备进行连接。

1

你还可以通过组策略来禁用文件和打印机的重定向以及剪贴板的共享,方法是打开

“组策略编辑器”,导航到“计算机配置”-“策略”-“管理模板”-“Windows

件”-“终端服务”-“终端服务器”-“设备和资源重定向”或“打印机重定向”,如图2

所示,按需要进行设置。组策略中的设置将覆盖客户端在“远程桌面连接”对话框中的任何

设置。

22改变远程桌面端口号

在默认状态下远程桌面使用的端口一般为“3389”,如果我们不及时将这个端口号

码更改掉的话,那么许多别有用心的黑客可能会利用这个端口,来远程控制和入侵服务器,

以便窃取保存在服务器中的各类隐私信息。为了保护服务器的安全,我们可以将远程桌面使

用的默认端口号更改成其他的端口号,方法是首先以管理员身份登录到服务器,并用鼠标单

击“开始”-“运行”命令,从弹出的系统运行框中,输入字符串命令“regedit”。单击“确

定”按钮后,打开系统注册表编辑界面:其次在该编辑界面的左侧显示区域,用鼠标展开

HKEY_LOCAL_MACHINE注册表分支,从其后弹出的分支列表中依次选中

SYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdWdstep子键,在tcp

键所对应的右侧显示区域中,把子键PortNumber的数值设置成其他端口号。例如可以将其

数值设置成“8888”:完成数值修改操作后.我们再将鼠标定位于注册表分支

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWin

Sta-tionsRDP-Tcp。在RDP-Tcp子键所对应的右侧显示区域中,同样把子键PortNumber

的数值也要一并修改过来。例如这里我们也要将它的数值修改成“8888”;完成服务器的远

程桌面连接端口号码后,当我们要通过远程桌面连接到该服务器时,打开远程桌面连接设置

窗口,并设置好需要远程连接的服务器地址,之后单击“另存为”按钮将远程桌面设置保存

成文件,接着用写字板之类的文本编辑程序将前面保存生成的RDP文件打开,并在文本编辑

区域中手工输入一行“server port:i:8888”这样的语句,再将该文件按照原名重新保存

一下,这样一来我们以后就能通过远程桌面安全地连接到报务器中了。而其他用户只要不知

道新的远程桌面端口号码。他们就无法与服务器创建远程桌面连接,那么服务器的安全性就

会得到增强。

2

23使用远程桌面连接60

虽然Windows XPWindows senrer 2003也都带有远程桌面连接,但Windows Vista

Windowsserver 2008中自带的远程桌面连接60。添加了许多新特性,其中的一些新特性

可以提升远程桌面连接的安全性和性能,如服务器身份验证和网络级身份验证(NLA)等,服

务器身份验证可以在连接设置过程中添加一级安全性。当连接到Windows Server2008服务

器时,远程桌面连接会试图验证你的目标计算机是否确实是这种服务器;网络级身份验证

(Network Level AuthenticationNLA),可以在开始建立远程会话连接和试图完成认证过

程之前提示你输入认证信息,这可以节省服务器的资源及带宽,同时减少被攻击的机会,

为攻击者可以不停地在登录界面输入密码进行攻击。现在使用NLA之后只有验证网络的信息

才会被传输,而不是整个RDP会话的信息,如果采用原来的方式,计算机则有潜在被攻击的

风险。

要使用这些新性,客户端和服务器都必须支持NLA,因此要远程管理Windows

Server2008服务器时,客户端使用远程桌面连接60,就可以实现这些新特性,提升远程

桌面连接的安全性,远程桌面连接60是微软免费RDP客户端工具的最新版本,Windows

VistaWindows server 2008中自带有该版本。而Windows Server 2003Windows XP

计算机也可以下载该版本。

Windows远程桌面方便、实用,通过“远程桌面”网络管理员可以在网络的另一端

轻松的控制网络中的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。

因此“远程桌面”功能极大的方便了网络管理员的工作,然而使用windows的远程桌面功能

操作服务器有一定的安全隐患。通过设置合适的组策略,改变远程桌面端口号,使用最新版

本的远程桌面连接等安全措施,可以大大提高远程连接的安全。