不讓遠程桌面非法訪問

唐人

遠程桌面程序是很多人在進行遠程管理操作時，都喜歡使用的一個Windows系統(tǒng)內置工具，它不但具有良好的操作性，而且也有不錯的連接速度。但也正因為如此，很多惡意用戶經常會瞄準它默認使用的3389端口，展開各種非法訪問，這種非法訪問既不會輕易被安全工具攔截，又能做到神不知鬼不覺，給局域網的安全管理帶來了不小的威脅。有鑒于此，本文特意提出如下控制技巧，不讓遠程桌面進行非法訪問。

取消遠程連接權限

對于局域網中的重要主機來說，始終保持權限最小化狀態(tài)是十分有必要的，所以在可能的情況下，取消一切用戶的遠程連接權限，就能不讓遠程桌面非法訪問了。登錄進入重要主機系統(tǒng)，用鼠標右鍵單擊系統(tǒng)桌面上的“我的電腦”或“計算機”圖標，從彈出右鍵菜單中點擊“屬性”命令，進入系統(tǒng)屬性對話框，點擊“遠程”選項卡，打開如圖1所示的選項設置頁面，取消選中“允許用戶遠程連接到此計算機”選項，單擊“確定”按鈕保存設置操作即可。

當然，簡單取消遠程連接權限有點極端，在確實需要進行遠程管理的場合下，可以為特定用戶賦予遠程連接權限。例如，僅允許“（8JHYTsd”這樣的可信賬號進行遠程桌面連接時，只要在如圖1所示的設置頁面中，點擊“選擇遠程用戶”按鈕，系統(tǒng)會彈出用戶賬號列表框，將已經出現(xiàn)在這里的所有賬號一一選中，并單擊“刪除”按鈕。再按下“添加”按鈕，在其后彈出的選擇用戶賬號對話框中，找到“（8JHYTsd”這樣的可信賬號，并將該賬號選中添加進來，確認后保存設置操作。這樣，日后其他普通用戶將無法使用遠程桌面程序來對本地主機系統(tǒng)進行遠程管理，而只有在這里授權的“（8JHYTsd”用戶才有權限使用遠程桌面連接管理本地系統(tǒng)。

值得注意的是，administrator賬號默認會擁有遠程桌面連接權限，為了防止惡意用戶嘗試通過該賬號來實現(xiàn)非法訪問，建議進行如下操作來取消administrator賬號遠程桌面連接權限：依次單擊“開始”、“運行”命令，展開系統(tǒng)運行對話框，輸入“gpedit.msc”命令并回車，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“用戶權限分配”分支上，雙擊該分支下的“通過終端服務允許登錄”組策略選項，在其后彈出的選項設置框中，刪除已經存在的系統(tǒng)管理員賬號administrator。這樣，當有人嘗試通過administrator賬號遠程桌面連接到本地系統(tǒng)時，就會出現(xiàn)拒絕登錄的報警提示。

綁定終端服務協(xié)議

默認狀態(tài)下，終端服務RDP協(xié)議會綁定在重要主機的所有網卡設備上，事實上，某個時刻只有其中一塊網卡設備需要開通遠程管理功能，這時候綁定在其他網卡設備上的終端服務RDP協(xié)議，或許就容易被遠程桌面非法利用。為了降低非法利用的可能，我們可以采取如下步驟，將終端服務RDP協(xié)議只綁定到需要的網卡設備上：

首先登錄重要主機系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“終端服務配置”選項，進入終端服務配置控制臺界面。在該界面右側列表區(qū)域，找到終端服務RDP協(xié)議選項，用鼠標右鍵單擊該選項，點擊右鍵菜單中的“屬性”命令，彈出終端服務RDP協(xié)議屬性對話框。

其次點擊“網卡”標簽，打開如圖2所示的標簽設置頁面，在這里我們能看到終端服務RDP協(xié)議默認已經綁定在重要主機的所有網卡設備上了。此時，可以從網卡下拉列表中，選擇需要綁定的那塊網卡設備，單擊“確定”按鈕保存設置操作即可。

按需過濾連接請求

有的時候，為了預防局域網中感染了病毒木馬的計算機，通過遠程桌面連接隨意訪問服務器系統(tǒng)，我們需要在服務器系統(tǒng)過濾大部分遠程連接本地3389端口的TCP請求，僅允許通過事先授權IP地址的計算機連接。要做到這一點，可以利用創(chuàng)建IP安全策略的方法，通過點到點的安全模型，能夠安全有效地限制源計算機遠程連接到目標計算機。那么，怎樣來創(chuàng)建IP安全策略，按需過濾遠程連接本地3389端口的TCP請求呢？這里就以Windows Server 2003系統(tǒng)為例來說明。

首先依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“Gpedit.msc”命令，開啟系統(tǒng)組策略編輯器運行狀態(tài)。將鼠標定位到組策略編輯界面的“本地計算機策略”、“計算機配置”、“Windows 設置”、“安全設置”、“IP 安全策略，在本地計算機”分支上，在該分支下顯示有服務器系統(tǒng)默認的三條安全策略，它們分別為安全服務器、客戶端、服務器策略。

其次打開目標分支的右鍵菜單，點擊“創(chuàng)建IP安全策略”命令，展開IP安全策略向導設置框，按“下一步”按鈕，將策略名稱輸入為“過濾遠程連接”，單擊“下一步”按鈕后，取消“激活默認響應規(guī)則”項目的選中狀態(tài)，繼續(xù)按“下一步”按鈕，再點擊“完成”按鈕結束新安全策略的創(chuàng)建任務。

下面需要在該安全策略中創(chuàng)建兩條IP安全規(guī)則：“禁止遠程連接”和“允許遠程連接”。在創(chuàng)建IP安全規(guī)則之前，先要返回到“IP 安全策略，在本地計算機”分支上，從該分支的右鍵菜單中點擊“管理IP篩選器表和篩選器操作”命令，切換到管理IP篩選器列表標簽頁面，點擊其中的“添加”按鈕，展開IP篩選器添加向導對話框，依照向導提示將IP篩選器名稱設置為“3389端口”，將篩選器的“源地址”設置為任何IP地址，將“目的地址”設置為“我的IP地址”，將“IP協(xié)議”參數(shù)設置為“TCP”，將端口設置為從任意端口到本地系統(tǒng)的“3389”端口，確認后結束篩選器操作的創(chuàng)建任務。點擊“管理篩選器操作”標簽，在對應標簽頁面中按下“添加”按鈕，展開篩選器操作添加對話框，將篩選器操作名稱設置為“攔截3389端口”，將篩選器操作的行為設置為“阻止”，其他參數(shù)保持默認設置，完成篩選器的創(chuàng)建任務。

現(xiàn)在正式創(chuàng)建“禁止遠程連接”IP安全規(guī)則。在“IP 安全策略，在本地計算機”分支下面，找到之前創(chuàng)建好的“過濾遠程連接”策略，用鼠標雙擊該策略選項，展開對應策略選項設置對話框，單擊“添加”按鈕，彈出添加向導對話框，依照向導提示全部使用默認設置，直到向導對話框彈出警告提示，詢問用戶是否“想繼續(xù)并保留這些規(guī)則的屬性嗎”時，點擊“是”按鈕，進入如圖3所示的IP篩選器列表界面。單擊“添加”按鈕，導入之前創(chuàng)建好的“3389端口”IP篩選器，按“下一步”按鈕后，選中“攔截3389端口”這個篩選器操作，繼續(xù)單擊“下一步”按鈕后，就結束“禁止遠程連接”IP安全規(guī)則的創(chuàng)建操作了。這時，我們手頭就有一個攔截所有IP遠程訪問本地3389端口的安全策略了，為了讓該策略正式生效，還需要打開“過濾遠程連接”策略的右鍵菜單，執(zhí)行“指派”命令，才能讓本地系統(tǒng)正式拒絕所有計算機連接3389端口的TCP請求。endprint

經過上述設置操作后，所有計算機都無法通過3389端口遠程管理本地計算機了。為了讓合法可信的計算機允許建立遠程桌面連接，還需要創(chuàng)建一個“允許遠程連接”的IP安全策略。在創(chuàng)建該安全策略之前，同樣要創(chuàng)建好“3389端口1”的IP篩選器，將該篩選器的“源地址”設置為一個特定的IP地址，比方說將管理員使用的計算機IP地址填寫到這里，將“目的地址”設置為“我的IP地址”，將“IP協(xié)議”參數(shù)設置為“TCP”（如圖4所示），將端口設置為從任意端口到本地系統(tǒng)的“3389”端口，確認后結束篩選器操作的創(chuàng)建任務。點擊“管理篩選器操作”標簽，在對應標簽頁面中按下“添加”按鈕，展開篩選器操作添加對話框，將篩選器操作名稱設置為“允許3389端口1”，將篩選器操作的行為設置為“允許”，其他參數(shù)保持默認設置，完成篩選器的創(chuàng)建任務。下面打開“允許遠程連接”策略選項設置對話框，單擊“添加”按鈕，彈出添加向導對話框，依照向導提示導入之前創(chuàng)建好的“3389端口1”IP篩選器，按“下一步”按鈕后，選中“允許3389端口1”這個篩選器操作，這樣就結束“允許遠程連接”IP安全規(guī)則的創(chuàng)建操作了。再次對“允許遠程連接”規(guī)則執(zhí)行指派操作，日后只有來自特定IP地址的計算機將被許可進行遠程桌面連接，其他的IP地址連接都將被拒絕。

開啟網絡身份驗證

在安裝了Windows Server 2008系統(tǒng)的服務器環(huán)境中，也能通過系統(tǒng)新增加的網絡級身份驗證功能，強制對所有遠程桌面連接用戶執(zhí)行網絡級身份驗證，以避免一些惡意用戶偷偷通過遠程桌面程序非法訪問服務器資源。

在開啟網絡級身份驗證功能時，首先以系統(tǒng)管理員權限登錄進入服務器系統(tǒng)，依次單擊“開始”、“程序”、“管理工具”、“服務器管理器”命令，彈出服務器管理器界面。選中該界面左側的“服務器管理”分支，在該分支的“服務器摘要”位置處，點擊“配置遠程桌面”按鈕，進入服務器系統(tǒng)遠程桌面設置窗口。在這里能看到三個功能選項，要想讓局域網中的任何計算機都能通過遠程桌面連接來進行遠程訪問時，只要選中“允許運行任意版本遠程桌面的計算機連接”選項即可（如圖5所示），只是它容易引起非法訪問麻煩。

如果不想讓遠程桌面非法訪問服務器系統(tǒng)時，可以選中“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”選項，單擊“確定”按鈕保存設置操作。日后，服務器系統(tǒng)將會自動強制對任何遠程桌面連接用戶進行網絡級身份驗證操作，那么非法訪問現(xiàn)象就很容易避免了。

調整遠程連接端口

既然3389端口成為了眾矢之的，哪能不能強制遠程桌面連接程序使用一個陌生的端口號碼，來阻止非法訪問現(xiàn)象呢？答案是肯定的！在Windows Server 2008服務器環(huán)境中，只要進行如下設置操作，就能輕易調整遠程桌面連接端口，讓不知道端口的用戶無法通過遠程桌面非法訪問：

依次單擊“開始”、“運行”選項，展開系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。將鼠標定位到注冊表編輯窗口左側的HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp分支上，找到該分支下的“PortNumber”鍵值，用鼠標雙擊之，彈出PortNumber鍵值編輯對話框，在其中輸入新的端口號碼。比方說，要將新端口號碼調整為“8866”時，只要選中“十進制”選項，同時輸入“8866”數(shù)值（如圖6所示），確認后保存設置即可。日后，只有知道新端口號碼的遠程，才能與本地服務器建立遠程桌面連接，其他人無法通過遠程桌面非法訪問服務器系統(tǒng)。endprint