文章導航綠軟下載站軟件下載安卓資源蘋果資源專題

您當前所在位置:首頁網絡安全安全防護 → 如何保障Server 2008服務器的遠程桌面安全

如何保障Server 2008服務器的遠程桌面安全

時間:2015/6/28來源:IT貓撲網作者:網管聯盟我要評論(0)

  遠程桌面是管理員對Windows系統實施遠程管理和維護的首先工具,當然也是攻擊者窺視和企圖接管的對象。因此,一個有經驗的系統管理員在客戶端或者服務器上開啟遠程桌面后定會進行一定的安全部署。對于Windows Server 2008來說,遠程桌面是終端服務的一個功能,Windows Server 2008的安全特性和相關細節,為用戶進行遠程桌面管理以及提升其安全性提供了更多選項。本文將和大家一道挖掘Windows Server 2008遠程桌面管理中的相關技術細節。

  1、啟用遠程桌面時應注意的細節

  在Windows Server 2008中開啟遠程桌面的操作是非常簡單的,但不同于此前的系統它提供了更多的安全選項,這些選項是我們應用注意的。另外,因為Windows Server 2008的安全特性,大家在開啟遠程桌面前或者開啟之后還應用注意有關事項。

  (1).慎重選擇限制遠程連接系統的版本

  依次點擊"控制面板"→"系統和維護"→"系統"進入系統管理頁面,單擊左窗格中的"遠程設置"鏈接打開"系統屬性"對話框,點擊"遠程"選項卡來到啟用遠程桌面窗口。對于啟用遠程桌面大家可謂輕車熟路,但該頁面中啟用Windows Server 2008遠程桌面的兩個選項希望引起大家的注意。首先是"允許運行任意版本遠程桌面的計算機連接(較不安全)"選項,如果選擇該項那么任意版本的Windows都可以通過遠程桌面連接到該主機,毫無疑問,這是不安全的。在此,管理員應該做考量是否限制遠程連接的系統版本以提升遠程桌面的安全,一般情況下管理員應該以自己平時使用的系統版本為依據進行選擇。另外一個選項是"只允許運行帶網絡身份驗證的遠程桌面的計算機連接(更安全)",如果選擇該項,那么將只允許安裝了Windows Vista、Windows Server 2008、Windows 7的計算機進行遠程連接。如果條件允許,筆者當然建議大家選擇該項,畢竟安全第一嘛。
 
  (2).賬戶和防火墻相關的注意事項
  在Windows Server 2008上開啟遠程桌面時還需注意,所有遠程連接必須使用帶有密碼的賬戶創建,如果系統中的某個本地賬戶沒有密碼,那么就無法使用該賬戶進行遠程連接。這是一些個人用戶經常遇到的問題,明明開啟了遠程桌面但就是無法通過賬戶登錄。

  另外,考慮到Windows Server 2008的防火墻非常強大一般用戶會選擇時系統防火墻,此時如果開啟遠程桌面的話,系統防火墻會自動創建一個例外,允許遠程桌面協議(RDP)連接穿透防火墻。默認情況下,該協議使用TCP 3389端口,同時在注冊表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber鍵值中記錄了該端口號。出于安全考慮,希望大家將該端口號更改為一個陌生的端口,更改的方法就是修改該注冊表鍵值的值。如果計算機系統使用了其他第三方防火墻,則不行要在該防火墻中打開該端口,以允許建立傳入的遠程桌面協議(RDP)連接。在此提醒的是,允許連接的端口是你更改后的端口而不是此前的TCP 3389端口。
 
  2、對遠程登錄用戶可采用的授權方法

  默認情況下,Administrators組中的所有成員都可以遠程登錄,同時Windows Server 2008 Active Directory中的Remote Desktop Users組的成員也可以進行遠程管理。處于安全考慮,我們必須更改默認授權而實施對特定的用戶或者組授權。

  (1).在遠程桌面控制臺中授權

  在Windows Server 2008的"系統屬性"對話框中,單擊"遠程"選項卡進入遠程桌面設置窗口。在開啟遠程桌面后,單擊其中的"選擇用戶"按鈕,隨后打開"遠程桌面用戶"對話框,同時所有Remote Desktop Users組的成員都會被列在這里。要添加新的用戶或者組到該列表,單擊"添加"按鈕打開"選擇用戶或組"對話框。在該對話框中輸入所選或默認域中用戶或組的名稱,然后單擊"檢查名稱"。如果找到了多個匹配項目,則需要選擇要使用的名稱,然后單擊"確定"。當然也可以單擊"查找范圍"按鈕,選擇其他位置通過查找功能添加相應的用戶。如果還希望添加其他用戶或者組,注意在它們直接輸入分號(;)作為間隔。再次,筆者的建議是:刪除對于組的授權,而只授予特定的用戶遠程連接權限。這樣就會增加攻擊者猜解用戶賬戶的難度,從而提升了遠程桌面的安全。作為一個安全技巧,大家可以取消administrator賬戶的遠程連接權限,而賦予其他對于攻擊者來說比較陌生的賬戶的遠程連接權限。
 
  (2).通過組策略限制遠程登錄

  在組策略中,Administrators和Remote Desktop Users組的成員默認具有"允許通過終端服務登錄"的用戶權限。如果修改過組策略,可能需要復查,以確保這個用戶權限依然被分配給這些組。一般來說,可以針對具體的計算機復查設置,但也可以通過站點、域已經組織單元策略進行復查。打開相應的組策略對象,然后依次展開"計算機配置"→"Windows 設置"→"安全設置"→"本地策略"→"用權限指派",雙擊"通過終端服務允許登錄"策略,查看要使用的用戶和組是否在列。
 
  如果希望限制用戶對服務器進行遠程登錄,可以打開相應的組策略對象,展開"計算機配置"→"Windows 設置"→"安全設置"→"本地策略"→"用權限指派" 節點,雙擊"通過終端服務拒絕登錄"策略。在該策略的屬性對話框中,選擇"拒絕這些策略設置",然后單擊"添加用戶或組",在添加用戶或組對話框中,單擊"瀏覽",并使用選擇用戶、計算機或組對話框輸入希望拒絕通過終端服務進行本地登錄的用戶或組的名稱,然后單擊"確定"即可。另外,也可以在終端服務配置工具中修改組的默認權限。例如,可以將對終端訪問對象具有完全控制權限的Administrators組刪除。
 
  3、在組策略中配置遠程桌面管理

  遠程桌面管理是終端服務的一部分,當然也可使用組策略配置遠程桌面。其實,微軟也建議首先使用組策略作為終端服務和遠程桌面管理功能的首選工具。在實戰中,我們可以針對特定的計算機配置本地策略,或在域中的組織單元(OU)上設置。我們可以使用組策略對象編輯器進行修改,定位到"計算機配置"→"管理模板"→"Windows 組件"→"終端服務"節點以及"用戶配置"→"管理模板"→"Windows 組件"→"終端服務"節點下進行設置。該節點下有6個配置項目,大家可以根據需要進行配置。一般來說,遠程桌面管理都用于對企業內部的服務器進行管理,但終端服務服務器通常都會使用獨立的OU被隔離在特定的組中。因此如果打算在企業內部使用終端服務服務器,則應該考慮為終端服務服務器創建獨立的OU,這樣就可以通過遠程桌面單獨管理終端服務服務器。
 
  4、遠程桌面連接客戶端設置技巧

  Windows Server 2008使用的遠程桌面連接客戶端(mstsc)是最新的第6版本,這個版本的連接客戶端相比以前的版本有了較大的改進,增加了許多有趣而實用的功能。下面和大家共享幾個使用mstsc進程遠程桌面連接中的相關技巧。

  (1).自定義顯示分辨率

  Windows Server 2008中的mstsc支持高達1680×1920或1920×1200或更高的分辨率。除了可以在mstsc的圖形界面中設置分辨率外,當然最快捷的是直接通過命令設置。比如我們運行"mstsc /w:1920 /h:1200"即將客戶端的分辨率設置為1920×1200,其中/h、/w是參數分別表示屏幕的高和寬。如果大家將某次桌面連接配置保存為RDP文件,我們可以打開該文件然后修改其中的desktopwidth和desktopheigh后面數值以改變屏幕大小。例如desktopwidth:i:1920或desktopheigh:i:1200。
 
  (2).在遠程桌面中使用多顯示器

  Windows Server 2008中的mstsc支持多顯示器,這樣就能夠顯示遠程會話的所有內容。需要說明的是:要使用多顯示器,那么這些顯示器必須水平對齊,并使用同樣的分辨率。要使用遠程桌面的多顯示器跨越功能,需要在mstsc中添加/span參數,例如"mstsc /span"。當然,我們也可以通過修改RDP文件中的特定數值實現顯示器跨越,比如"Span:i:1"

  (3).調整傳輸數據的優先級

  Windows Server 2008中的mstsc在顯示遠程系統的數據方面是有一定的優先級的。我們希望的優先級是:顯示器、鍵盤和鼠標的相關數據比其他類型的數據,比如打印機或文件傳輸更優先處理。默認情況下,顯示器和輸入數據將占可以帶寬的70%,而其他通信只占可以帶寬的30%。在某些特殊情況下,我們需要調整這個默認的優先級以符合我們的特殊需求。要修改這個優先級就需要在Windows Server 2008的注冊表中進行修改,其注冊表項是HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servers\TermDD。需要條的子鍵是(如果沒有這些鍵值可以自己創建,這些鍵值都是32位的DWORD值):

  FlowControlDisable 將其值設置為"1"就會禁止顯示數據的優先級,反之,所有不同的數據就請求都會被同等對待,其他是注冊表值就會被忽略。
  FlowControlDisplayBandWidth 該鍵值設置相對帶寬優先級的比例,其默認值是70,最大允許的數值是255。
  FlowControlChannelBandWidth 該鍵值設置其他數據比如打印機、文件傳輸等占用的可以帶寬比例,其默認值是30,最大可以設置為255。
  FlowControlChargePostCompression 該鍵值決定是否要根據演示前和壓縮后的數據大小 關鍵詞標簽:Server 2008服務器,遠

相關閱讀

文章評論
發表評論

熱門文章 自己動手打造高性能入侵檢測防御系統(一)自己動手打造高性能入侵檢測防御系統(一)安全技巧:利用軟件限制策略阻止網馬侵襲安全技巧:利用軟件限制策略阻止網馬侵襲巧設瑞星推薦規則 拒絕創建劫持項行為巧設瑞星推薦規則 拒絕創建劫持項行為局域網防監聽局域網防監聽

相關軟件

人氣排行 企業網絡安全事件應急響應方案xp系統關閉445端口方法_ 教你如何關閉xp系統445端口什么是IPS(入侵防御系統)linux iptables如何封IP段隱藏ip地址增加網絡信息的安全性Windows Server 2008利用組策略的安全設置如何保障Server 2008服務器的遠程桌面安全ARP協議的反向和代理

王琳羽毛球