远程桌面的应用及安全设置
  “远程桌面”本质上是一个单用户的终端服务会话,它使用RDP协议与运行“Windows Server2008”的主机进行通讯,远程用户访问的应用程序在这个主机系统上运行,只有键盘和鼠标的输入信号及视频的输出信号在主机系统之间进行传递。由于“远程桌面”会话传递的数据量非常有限,所以它可以有效地利用网络带宽并应用于各类网络环境,包括拨号连接和广域网连接。使用“远程桌面连接”,可以很容易地连接到网络服务器或其他运行远程桌面的计算机,操作远程的电脑为你收发邮件、查看报表、传送文件、安装及删除软件、进行用户管理、系统维护更新等等,就像实际操作自己面前那台计算机一样,可以大大提高工作的效率。
    Windows XP/Windows Server 2003/Windows Server2008系统集成有远程桌面连接工具,其它Windows平台(Windows 2000、Windows Me、Windows NT及Windows 9X等)可以通过运行“远程桌面”的客户端软件——“远程桌面连接”来实现远程管理网络服务器。
1.远程管理设置
    网络管理员要对网络中的服务器进行远程管理的控制,必须在服务器端启用“远程桌面”功能,在客户端通过“远程桌面连接”来登录网络服务器。实现远程管理。
windowsserver能日常用吗
    1.1服务器设置
    只有启用服务器上的“远程桌面”功能,才能从其他计算机上对其进行远程控制。以管理员或Administrators组成员的身份进行登录到WindowsServer 2008服务器,接着用鼠标右键单击“计算机”,打开“系统属性”窗口,选择“远程”选项卡。在“远程桌面”选项框中,选中“允许运行任意版本远程桌面的计算机连接”或“只允许运行带网络级身份验证的远程桌面的计算机连接(更安全)”。选择“允许运行任意版本远程桌面的计算机连接”可以允许使用任意版本的远程桌面或TS RemoteApp的人连接到服务器。选择“只允许运行带网络级身份验证的远程桌面的计算机连接”,可以允许运行Windows?Vista或Windows Server 2008的计算机连接到服务器。
    此外,还需为相应用于远程连接的用户配置远程连接权限。默认情况下,Administrators组及“Remote Desktop Users”组的成员可远程连接到服务器,但在默认情况下。“Remote Desktop Users”组未添加成员,所以如果想添加其他用户。而又不想赋予他系统管理员那么高的权限。则您必须把他添加到这个组中。“Remote Desktop Users”组除了允许与Users组相同的访问权限外。还具备远程连接的其他能力。通过使用该组,可以在无需分别为每个用户设置这些权利的情况下,保存管理资源。
    1.2客户端设置
    要实现远程管理网络主机,客户端必须运行“远程桌面连接”程序,以登录到服务器,对服务器进行管理和控制。
    Windows XP、Windows Server 2003、WindowsVista、Windows server 2008系统都内置了一个“远程桌面”的客户端程序,即“远程桌面连接”(mstsc.exe)。
    在客户机单击“开始”-“所有程序”-“附件”-“通讯”-“远程桌面连接”,输入远程连接的计算机名或IP地址、进行远程连接的用户账户、密码和所在域。注意所输入的用户账户一定是前面已配置具有远程连接权限的。设置连接的其他属性,单击“确定”即可进行远程连接。
2.远程管理的安全措施
    “远程桌面”系统如些便利,如何设置才能加强远程连接和安全呢?我们可以通过以下措施来保证远程管理的安全。
    2.1通过组策略设置来实现
    启用以下本地或域组的安全策略来保证“远程桌面”的安全性:
    ·要求最大许可的加密级别
    ·登录时要求密码验证
    ·禁用文件重定向
    ·禁用打印机重定向
    ·禁用剪贴板共享
    为了控制会话的加密级别,可打开“组策略编辑器”,导航到“计算机配置”-“策略”-“管理模板”-“Windows组件”-“终端服务”-“终端服务器”-“安全”,如图1所示,单击“设置客户端连接加密级别”,选择你所需要的加密级别,“客户端兼容”为强制双方使用与客户端兼容的最高加密级别进行连接,“高级别”为禁止与不支持128位加密级别的设备进行连接。
    图1
    你还可以通过组策略来禁用文件和打印机的重定向以及剪贴板的共享,方法是打开“组策略编辑器”,导航到“计算机配置”-“策略”-“管理模板”-“Windows组件”-“终端服务”-“终端服务器”-“设备和资源重定向”或“打印机重定向”,如图2所示,按需要进行设置。组策略中的设置将覆盖客户端在“远程桌面连接”对话框中的任何设置。
2.2改变远程桌面端口号
    在默认状态下远程桌面使用的端口一般为“3389”,如果我们不及时将这个端口号码更改掉的话,那么许多别有用心的黑客可能会利用这个端口,来远程控制和入侵服务器,以便窃取保存在服务器中的各类隐私信息。为了保护服务器的安全,我们可以将远程桌面使用的默认端口号更改成其他的端口号,方法是首先以管理员身份登录到服务器,并用鼠标单击“开始”-“运行”命令,从弹出的系统运行框中,输入字符串命令“regedit”。单击“确定”按钮后,打开系统注册表编辑界面:其次在该编辑界面的左侧显示区域,用鼠标展开HKEY_LOCAL_MACHINE注册表分支,从其后弹出的分支列表中依次选中SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwdWds\tep子键,在tcp子键所对应的右侧显示区域中,把子键PortNumber的数值设置成其他端口号。例如可以将其数值
设置成“8888”:完成数值修改操作后.我们再将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Win Sta-tions\RDP-Tcp。在RDP-Tcp子键所对应的右侧显示区域中,同样把子键PortNumber的数值也要一并修改过来。例如这里我们也要将它的数值修改成“8888”;完成服务器的远程桌面连接端口号码后,当我们要通过远程桌面连接到该服务器时,打开远程桌面连接设置窗口,并设置好需要远程连接的服务器地址,之后单击“另存为”按钮将远程桌面设置保存成文件,接着用写字板之类的文本编辑程序将前面保存生成的RDP文件打开,并在文本编辑区域中手工输入一行“server port:i:8888”这样的语句,再将该文件按照原名重新保存一下,这样一来我们以后就能通过远程桌面安全地连接到报务器中了。而其他用户只要不知道新的远程桌面端口号码。他们就无法与服务器创建远程桌面连接,那么服务器的安全性就会得到增强。
图2
    2.3使用远程桌面连接6.0
    虽然Windows XP、Windows senrer 2003也都带有远程桌面连接,但Windows Vista、Wi
ndowsserver 2008中自带的远程桌面连接6.0。添加了许多新特性,其中的一些新特性可以提升远程桌面连接的安全性和性能,如服务器身份验证和网络级身份验证(NLA)等,服务器身份验证可以在连接设置过程中添加一级安全性。当连接到Windows Server2008服务器时,远程桌面连接会试图验证你的目标计算机是否确实是这种服务器;网络级身份验证(Network Level Authentication,NLA),可以在开始建立远程会话连接和试图完成认证过程之前提示你输入认证信息,这可以节省服务器的资源及带宽,同时减少被攻击的机会,因为攻击者可以不停地在登录界面输入密码进行攻击。现在使用NLA之后只有验证网络的信息才会被传输,而不是整个RDP会话的信息,如果采用原来的方式,计算机则有潜在被攻击的风险。
    要使用这些新性,客户端和服务器都必须支持NLA,因此要远程管理Windows Server2008服务器时,客户端使用远程桌面连接6.0,就可以实现这些新特性,提升远程桌面连接的安全性,远程桌面连接6.0是微软免费RDP客户端工具的最新版本,Windows Vista、Windows server 2008中自带有该版本。而Windows Server 2003和Windows XP的计算机也可以下载该版本。
    Windows远程桌面方便、实用,通过“远程桌面”网络管理员可以在网络的另一端轻松的控制网络中的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作,然而使用windows的远程桌面功能操作服务器有一定的安全隐患。通过设置合适的组策略,改变远程桌面端口号,使用最新版本的远程桌面连接等安全措施,可以大大提高远程连接的安全。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。