唐人

遠(yuǎn)程桌面程序是很多人在進(jìn)行遠(yuǎn)程管理操作時，都喜歡使用的一個Windows系統(tǒng)內(nèi)置工具，它不但具有良好的操作性，而且也有不錯的連接速度。但也正因?yàn)槿绱耍芏鄲阂庥脩艚?jīng)常會瞄準(zhǔn)它默認(rèn)使用的3389端口，展開各種非法訪問，這種非法訪問既不會輕易被安全工具攔截，又能做到神不知鬼不覺，給局域網(wǎng)的安全管理帶來了不小的威脅。有鑒于此，本文特意提出如下控制技巧，不讓遠(yuǎn)程桌面進(jìn)行非法訪問。

取消遠(yuǎn)程連接權(quán)限

對于局域網(wǎng)中的重要主機(jī)來說，始終保持權(quán)限最小化狀態(tài)是十分有必要的，所以在可能的情況下，取消一切用戶的遠(yuǎn)程連接權(quán)限，就能不讓遠(yuǎn)程桌面非法訪問了。登錄進(jìn)入重要主機(jī)系統(tǒng)，用鼠標(biāo)右鍵單擊系統(tǒng)桌面上的“我的電腦”或“計算機(jī)”圖標(biāo)，從彈出右鍵菜單中點(diǎn)擊“屬性”命令，進(jìn)入系統(tǒng)屬性對話框，點(diǎn)擊“遠(yuǎn)程”選項(xiàng)卡，打開如圖1所示的選項(xiàng)設(shè)置頁面，取消選中“允許用戶遠(yuǎn)程連接到此計算機(jī)”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作即可。

當(dāng)然，簡單取消遠(yuǎn)程連接權(quán)限有點(diǎn)極端，在確實(shí)需要進(jìn)行遠(yuǎn)程管理的場合下，可以為特定用戶賦予遠(yuǎn)程連接權(quán)限。例如，僅允許“（8JHYTsd”這樣的可信賬號進(jìn)行遠(yuǎn)程桌面連接時，只要在如圖1所示的設(shè)置頁面中，點(diǎn)擊“選擇遠(yuǎn)程用戶”按鈕，系統(tǒng)會彈出用戶賬號列表框，將已經(jīng)出現(xiàn)在這里的所有賬號一一選中，并單擊“刪除”按鈕。再按下“添加”按鈕，在其后彈出的選擇用戶賬號對話框中，找到“（8JHYTsd”這樣的可信賬號，并將該賬號選中添加進(jìn)來，確認(rèn)后保存設(shè)置操作。這樣，日后其他普通用戶將無法使用遠(yuǎn)程桌面程序來對本地主機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程管理，而只有在這里授權(quán)的“（8JHYTsd”用戶才有權(quán)限使用遠(yuǎn)程桌面連接管理本地系統(tǒng)。

值得注意的是，administrator賬號默認(rèn)會擁有遠(yuǎn)程桌面連接權(quán)限，為了防止惡意用戶嘗試通過該賬號來實(shí)現(xiàn)非法訪問，建議進(jìn)行如下操作來取消administrator賬號遠(yuǎn)程桌面連接權(quán)限：依次單擊“開始”、“運(yùn)行”命令，展開系統(tǒng)運(yùn)行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到“本地計算機(jī)策略”、“計算機(jī)配置”、“Windows設(shè)置”、“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”分支上，雙擊該分支下的“通過終端服務(wù)允許登錄”組策略選項(xiàng)，在其后彈出的選項(xiàng)設(shè)置框中，刪除已經(jīng)存在的系統(tǒng)管理員賬號administrator。這樣，當(dāng)有人嘗試通過administrator賬號遠(yuǎn)程桌面連接到本地系統(tǒng)時，就會出現(xiàn)拒絕登錄的報警提示。

綁定終端服務(wù)協(xié)議

默認(rèn)狀態(tài)下，終端服務(wù)RDP協(xié)議會綁定在重要主機(jī)的所有網(wǎng)卡設(shè)備上，事實(shí)上，某個時刻只有其中一塊網(wǎng)卡設(shè)備需要開通遠(yuǎn)程管理功能，這時候綁定在其他網(wǎng)卡設(shè)備上的終端服務(wù)RDP協(xié)議，或許就容易被遠(yuǎn)程桌面非法利用。為了降低非法利用的可能，我們可以采取如下步驟，將終端服務(wù)RDP協(xié)議只綁定到需要的網(wǎng)卡設(shè)備上：

首先登錄重要主機(jī)系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“終端服務(wù)配置”選項(xiàng)，進(jìn)入終端服務(wù)配置控制臺界面。在該界面右側(cè)列表區(qū)域，找到終端服務(wù)RDP協(xié)議選項(xiàng)，用鼠標(biāo)右鍵單擊該選項(xiàng)，點(diǎn)擊右鍵菜單中的“屬性”命令，彈出終端服務(wù)RDP協(xié)議屬性對話框。

其次點(diǎn)擊“網(wǎng)卡”標(biāo)簽，打開如圖2所示的標(biāo)簽設(shè)置頁面，在這里我們能看到終端服務(wù)RDP協(xié)議默認(rèn)已經(jīng)綁定在重要主機(jī)的所有網(wǎng)卡設(shè)備上了。此時，可以從網(wǎng)卡下拉列表中，選擇需要綁定的那塊網(wǎng)卡設(shè)備，單擊“確定”按鈕保存設(shè)置操作即可。

按需過濾連接請求

有的時候，為了預(yù)防局域網(wǎng)中感染了病毒木馬的計算機(jī)，通過遠(yuǎn)程桌面連接隨意訪問服務(wù)器系統(tǒng)，我們需要在服務(wù)器系統(tǒng)過濾大部分遠(yuǎn)程連接本地3389端口的TCP請求，僅允許通過事先授權(quán)IP地址的計算機(jī)連接。要做到這一點(diǎn)，可以利用創(chuàng)建IP安全策略的方法，通過點(diǎn)到點(diǎn)的安全模型，能夠安全有效地限制源計算機(jī)遠(yuǎn)程連接到目標(biāo)計算機(jī)。那么，怎樣來創(chuàng)建IP安全策略，按需過濾遠(yuǎn)程連接本地3389端口的TCP請求呢？這里就以Windows Server 2003系統(tǒng)為例來說明。

首先依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對話框，輸入“Gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到組策略編輯界面的“本地計算機(jī)策略”、“計算機(jī)配置”、“Windows 設(shè)置”、“安全設(shè)置”、“IP 安全策略，在本地計算機(jī)”分支上，在該分支下顯示有服務(wù)器系統(tǒng)默認(rèn)的三條安全策略，它們分別為安全服務(wù)器、客戶端、服務(wù)器策略。

其次打開目標(biāo)分支的右鍵菜單，點(diǎn)擊“創(chuàng)建IP安全策略”命令，展開IP安全策略向?qū)гO(shè)置框，按“下一步”按鈕，將策略名稱輸入為“過濾遠(yuǎn)程連接”，單擊“下一步”按鈕后，取消“激活默認(rèn)響應(yīng)規(guī)則”項(xiàng)目的選中狀態(tài)，繼續(xù)按“下一步”按鈕，再點(diǎn)擊“完成”按鈕結(jié)束新安全策略的創(chuàng)建任務(wù)。

下面需要在該安全策略中創(chuàng)建兩條IP安全規(guī)則：“禁止遠(yuǎn)程連接”和“允許遠(yuǎn)程連接”。在創(chuàng)建IP安全規(guī)則之前，先要返回到“IP 安全策略，在本地計算機(jī)”分支上，從該分支的右鍵菜單中點(diǎn)擊“管理IP篩選器表和篩選器操作”命令，切換到管理IP篩選器列表標(biāo)簽頁面，點(diǎn)擊其中的“添加”按鈕，展開IP篩選器添加向?qū)υ捒?，依照向?qū)崾緦P篩選器名稱設(shè)置為“3389端口”，將篩選器的“源地址”設(shè)置為任何IP地址，將“目的地址”設(shè)置為“我的IP地址”，將“IP協(xié)議”參數(shù)設(shè)置為“TCP”，將端口設(shè)置為從任意端口到本地系統(tǒng)的“3389”端口，確認(rèn)后結(jié)束篩選器操作的創(chuàng)建任務(wù)。點(diǎn)擊“管理篩選器操作”標(biāo)簽，在對應(yīng)標(biāo)簽頁面中按下“添加”按鈕，展開篩選器操作添加對話框，將篩選器操作名稱設(shè)置為“攔截3389端口”，將篩選器操作的行為設(shè)置為“阻止”，其他參數(shù)保持默認(rèn)設(shè)置，完成篩選器的創(chuàng)建任務(wù)。

現(xiàn)在正式創(chuàng)建“禁止遠(yuǎn)程連接”IP安全規(guī)則。在“IP 安全策略，在本地計算機(jī)”分支下面，找到之前創(chuàng)建好的“過濾遠(yuǎn)程連接”策略，用鼠標(biāo)雙擊該策略選項(xiàng)，展開對應(yīng)策略選項(xiàng)設(shè)置對話框，單擊“添加”按鈕，彈出添加向?qū)υ捒?，依照向?qū)崾救渴褂媚J(rèn)設(shè)置，直到向?qū)υ捒驈棾鼍嫣崾?，詢問用戶是否“想繼續(xù)并保留這些規(guī)則的屬性嗎”時，點(diǎn)擊“是”按鈕，進(jìn)入如圖3所示的IP篩選器列表界面。單擊“添加”按鈕，導(dǎo)入之前創(chuàng)建好的“3389端口”IP篩選器，按“下一步”按鈕后，選中“攔截3389端口”這個篩選器操作，繼續(xù)單擊“下一步”按鈕后，就結(jié)束“禁止遠(yuǎn)程連接”IP安全規(guī)則的創(chuàng)建操作了。這時，我們手頭就有一個攔截所有IP遠(yuǎn)程訪問本地3389端口的安全策略了，為了讓該策略正式生效，還需要打開“過濾遠(yuǎn)程連接”策略的右鍵菜單，執(zhí)行“指派”命令，才能讓本地系統(tǒng)正式拒絕所有計算機(jī)連接3389端口的TCP請求。endprint

經(jīng)過上述設(shè)置操作后，所有計算機(jī)都無法通過3389端口遠(yuǎn)程管理本地計算機(jī)了。為了讓合法可信的計算機(jī)允許建立遠(yuǎn)程桌面連接，還需要創(chuàng)建一個“允許遠(yuǎn)程連接”的IP安全策略。在創(chuàng)建該安全策略之前，同樣要創(chuàng)建好“3389端口1”的IP篩選器，將該篩選器的“源地址”設(shè)置為一個特定的IP地址，比方說將管理員使用的計算機(jī)IP地址填寫到這里，將“目的地址”設(shè)置為“我的IP地址”，將“IP協(xié)議”參數(shù)設(shè)置為“TCP”（如圖4所示），將端口設(shè)置為從任意端口到本地系統(tǒng)的“3389”端口，確認(rèn)后結(jié)束篩選器操作的創(chuàng)建任務(wù)。點(diǎn)擊“管理篩選器操作”標(biāo)簽，在對應(yīng)標(biāo)簽頁面中按下“添加”按鈕，展開篩選器操作添加對話框，將篩選器操作名稱設(shè)置為“允許3389端口1”，將篩選器操作的行為設(shè)置為“允許”，其他參數(shù)保持默認(rèn)設(shè)置，完成篩選器的創(chuàng)建任務(wù)。下面打開“允許遠(yuǎn)程連接”策略選項(xiàng)設(shè)置對話框，單擊“添加”按鈕，彈出添加向?qū)υ捒?，依照向?qū)崾緦?dǎo)入之前創(chuàng)建好的“3389端口1”IP篩選器，按“下一步”按鈕后，選中“允許3389端口1”這個篩選器操作，這樣就結(jié)束“允許遠(yuǎn)程連接”IP安全規(guī)則的創(chuàng)建操作了。再次對“允許遠(yuǎn)程連接”規(guī)則執(zhí)行指派操作，日后只有來自特定IP地址的計算機(jī)將被許可進(jìn)行遠(yuǎn)程桌面連接，其他的IP地址連接都將被拒絕。

開啟網(wǎng)絡(luò)身份驗(yàn)證

在安裝了Windows Server 2008系統(tǒng)的服務(wù)器環(huán)境中，也能通過系統(tǒng)新增加的網(wǎng)絡(luò)級身份驗(yàn)證功能，強(qiáng)制對所有遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級身份驗(yàn)證，以避免一些惡意用戶偷偷通過遠(yuǎn)程桌面程序非法訪問服務(wù)器資源。

在開啟網(wǎng)絡(luò)級身份驗(yàn)證功能時，首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入服務(wù)器系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“服務(wù)器管理器”命令，彈出服務(wù)器管理器界面。選中該界面左側(cè)的“服務(wù)器管理”分支，在該分支的“服務(wù)器摘要”位置處，點(diǎn)擊“配置遠(yuǎn)程桌面”按鈕，進(jìn)入服務(wù)器系統(tǒng)遠(yuǎn)程桌面設(shè)置窗口。在這里能看到三個功能選項(xiàng)，要想讓局域網(wǎng)中的任何計算機(jī)都能通過遠(yuǎn)程桌面連接來進(jìn)行遠(yuǎn)程訪問時，只要選中“允許運(yùn)行任意版本遠(yuǎn)程桌面的計算機(jī)連接”選項(xiàng)即可（如圖5所示），只是它容易引起非法訪問麻煩。

如果不想讓遠(yuǎn)程桌面非法訪問服務(wù)器系統(tǒng)時，可以選中“只允許運(yùn)行帶網(wǎng)絡(luò)級身份驗(yàn)證的遠(yuǎn)程桌面的計算機(jī)連接”選項(xiàng)，單擊“確定”按鈕保存設(shè)置操作。日后，服務(wù)器系統(tǒng)將會自動強(qiáng)制對任何遠(yuǎn)程桌面連接用戶進(jìn)行網(wǎng)絡(luò)級身份驗(yàn)證操作，那么非法訪問現(xiàn)象就很容易避免了。

調(diào)整遠(yuǎn)程連接端口

既然3389端口成為了眾矢之的，哪能不能強(qiáng)制遠(yuǎn)程桌面連接程序使用一個陌生的端口號碼，來阻止非法訪問現(xiàn)象呢？答案是肯定的！在Windows Server 2008服務(wù)器環(huán)境中，只要進(jìn)行如下設(shè)置操作，就能輕易調(diào)整遠(yuǎn)程桌面連接端口，讓不知道端口的用戶無法通過遠(yuǎn)程桌面非法訪問：

依次單擊“開始”、“運(yùn)行”選項(xiàng)，展開系統(tǒng)運(yùn)行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運(yùn)行狀態(tài)。將鼠標(biāo)定位到注冊表編輯窗口左側(cè)的HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp分支上，找到該分支下的“PortNumber”鍵值，用鼠標(biāo)雙擊之，彈出PortNumber鍵值編輯對話框，在其中輸入新的端口號碼。比方說，要將新端口號碼調(diào)整為“8866”時，只要選中“十進(jìn)制”選項(xiàng)，同時輸入“8866”數(shù)值（如圖6所示），確認(rèn)后保存設(shè)置即可。日后，只有知道新端口號碼的遠(yuǎn)程，才能與本地服務(wù)器建立遠(yuǎn)程桌面連接，其他人無法通過遠(yuǎn)程桌面非法訪問服務(wù)器系統(tǒng)。endprint