遠程控制專題問答

在利用遠程桌面連接進行遠程控制操作時，如果連接密碼設置得不夠復雜，那么非法用戶就可能會通過暴力破解方式竊取登錄密碼，請問如何強制用戶為遠程桌面控制連接設置比較復雜的密碼？

答：可以啟用密碼策略強制用戶為遠程桌面連接設置復雜密碼。例如，在啟用Windows 7系統(tǒng)的密碼策略時，可以先打開該系統(tǒng)的運行文本框，執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略編輯窗口，在該窗口的左側位置處依次展開“計算機配置”、“Windows 設置”、“安全設置”、“賬戶策略”、“密碼策略”分支，在該分支下有六個有關密碼的設置策略選項，用鼠標雙擊“密碼必須符合復雜性要求”選項，打開目標組策略屬性設置窗口；選中“已啟用”選項，再按“確定”按鈕，這樣Windows 7系統(tǒng)的遠程桌面連接密碼設置得不夠復雜時，系統(tǒng)就會自動彈出相關提示。同樣，可以根據(jù)實際需求，依次對“密碼最長使用期限”、“密碼長度最小值”、“強制密碼歷史”、“密碼最短使用期限”等策略進行設置，最后按“確定”按鈕執(zhí)行設置保存操作，這么一來遠程桌面連接密碼就會被強行設置得復雜了。

某人在一臺安裝了Windows XP系統(tǒng)的終端計算機中，準備使用遠程桌面連接程序，遠程控制保存有共享資源的Windows 7系統(tǒng)時，發(fā)現(xiàn)登錄賬號、密碼都正確，就是不能登錄成功，不知道是什么原因？

答：這種問題在舊版本系統(tǒng)登錄Vista以上版本系統(tǒng)時經常出現(xiàn)，原因主要是新版本系統(tǒng)新增加了網(wǎng)絡級身份驗證功能，該功能禁止存在許多安全漏洞的低版本系統(tǒng)隨意進行遠程桌面連接操作。要想解決上述問題，可以臨時關閉Windows 7系統(tǒng)的網(wǎng)絡級身份驗證功能，在進行關閉操作時，可以先右擊Windows 7系統(tǒng)桌面上的“計算機”圖標，點選右鍵菜單中的“屬性”命令，切換到Windows 7系統(tǒng)的屬性對話框，單擊該對話框左側的“遠程設置”按鈕，打開遠程設置界面，在這里Windows 7系統(tǒng)為用戶提供了三個功能選項，來保護遠程桌面連接安全性；我們只要選中“允許運行任意版本遠程桌面的計算機連接(較不安全)”選項，再按“確定”按鈕，就能在Windows XP系統(tǒng)中遠程桌面連接Windows 7系統(tǒng)了。

某用戶準備對單位的服務器系統(tǒng)進行遠程控制，當他使用本地系統(tǒng)的遠程桌面功能，與服務器主機建立遠程控制連接時，發(fā)現(xiàn)系統(tǒng)“開始”菜單中的遠程桌面連接命令丟失了，請問為什么會找不到該命令呢，又該如何才能恢復該命令的正常使用狀態(tài)呢？

答：找不到遠程桌面連接命令，或許是與該命令有關的系統(tǒng)服務停止或相關文件損壞引起的，此時不妨打開系統(tǒng)運行框，執(zhí)行“services.msc”命令，從系統(tǒng)服務列表中雙 擊“Terminal Services”選項，切換到該服務的選項設置界面，點選“常規(guī)”選項卡，在對應選項設置頁面中檢查“Terminal Services” 服務的運行狀態(tài)正常不正常，一旦發(fā)現(xiàn)其不正常時，單擊“啟動”按鈕重新啟用它，說不定就能解決上述問題了。當然，要 是“Terminal Services”服務正常，遠程桌面連接命令還無法找到的話，那多半是系統(tǒng)中相關的文件受到了損壞，這時可以切換到系統(tǒng)DOS命令行窗口，執(zhí)行“regsvr32 remotepg.dll”命令，來將遠程桌面系統(tǒng)文件重新注冊一下，相信這樣就能找到遠程桌面連接命令了。

Vista以上版本的新系統(tǒng)都支持網(wǎng)絡級身份驗證功能，該功能可以保護遠程控制連接的安全性。可是，在Windows XP等舊版本系統(tǒng)中，卻沒有網(wǎng)絡身份驗證功能，請問有沒有辦法讓Windows XP系統(tǒng)也支持該功能？

答：可以在Windows XP系統(tǒng)中依次點選“開始”、“運行”命令，打開系統(tǒng)運行對話框，輸入“regedit”命令，按回車鍵后切換到注冊表編輯界面；逐一跳轉到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”分支上，雙擊目標分支下的“Security Packages” 鍵值，輸入“tspkg”，并按“確定”按鈕返回；接著跳轉到“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlServiceProvider”分支上，雙擊“SecurityProviders”鍵值，添加輸入“, credssp.dll”（逗號后有英文空格符號），再按“確定”按鈕保存設置操作，之后重新啟動一下計算機系統(tǒng)，這樣Windows XP系統(tǒng)的遠程桌面連接對話框“關于”頁面中，就會出現(xiàn)“支持網(wǎng)絡級別的身份驗證”功能選項了，通過該選項就能有效保護Windows XP系統(tǒng)遠程控制連接安全了。

某Windows 2008服務器是部署在一臺硬件性能一般的計算機中的，當有多個用戶通過遠程桌面連接，對其進行遠程控制操作時，服務器系統(tǒng)的響應能力十分遲鈍，嚴重的時候，直接影響其正常工作。請問如何在Windows 2008系統(tǒng)中，限制用戶的遠程桌面連接數(shù)量？

答：先打開Windows 2008系統(tǒng)的“開始”菜單，從中依次點選“程序”、“管理工具”、“終端服務”、“終端服務配置”命令，彈出系統(tǒng)終端服務配置界面；展開“授權診斷”分支，選中目標分支下的“RDPTcp”選項，并用鼠標右擊該選項，點選右鍵菜單中的“屬性”選項，切換到“RDP-Tcp”選項設置界面；選中“網(wǎng)絡適配器”選項卡，在該選項設置頁面的最大連接數(shù)處輸入“3”，按“確定”按鈕，這樣Windows 2008系統(tǒng)日后最多只允許有3個遠程連接同時與之建立聯(lián)系。當然，對于普通的計算機系統(tǒng)，也可以通過修改系統(tǒng)注冊表，來限制用戶的遠程桌面連接數(shù)量；在進行這種修改操作時，依次單擊“開始”、“運行”，輸入“regedit”命令，按回車鍵切換到系統(tǒng)注冊表編輯窗口；將鼠標定位到該注冊表編輯窗口 的“HKEY_LOCAL_MACHINESOFTWAREPolicie sMicrosoftWindows NTTerminal Services”分支上，在目標分支下創(chuàng)建一個名為“MaxInstanceCount”的雙字節(jié)鍵值，同時將其數(shù)值設置成十進制的“3”，最后刷新系統(tǒng)注冊表即可。

局域網(wǎng)中很多終端計算機都有病毒，要是輕易允許帶毒系統(tǒng)利用遠程桌面連接，遠程控制Windows 2008系統(tǒng)，那么作為服務器使用的Windows 2008系統(tǒng)，就很容易遭遇病毒或木馬的攻擊。為了避免帶毒系統(tǒng)的傳染，請問有沒有辦法控制客戶機與Windows 2008系統(tǒng)的遠程桌面連接？

答：可以利用Windows 2008系統(tǒng)自帶的高級安全防火墻，來授權安全、合法的客戶機才有資格與Windows 2008系統(tǒng)建立遠程桌面連接。在Windows 2008服務器系統(tǒng)中，依次點選“開始”、“運行”選項，彈出系統(tǒng)運行對話框，執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略編輯窗口；逐一跳轉到該編輯窗口左側的“計算機配置”、“管理模板”、“網(wǎng)絡”、“網(wǎng)絡連接”、“Windows防火墻”、“標準配置文件”分支上，雙擊目標分支下的“Windows防火墻：允許入站遠程管理例外”選項，從彈出的組策略選項設置界面中，選中“已啟用”選項，自動激活“允許來自這些IP地址的未經請求的傳入消息”文本框，在這里輸入合法、安全的客戶機IP地址，最后按“確定”按鈕保存設置，這樣就能實現(xiàn)上述控制目的了。

為了改善工作效率，很多人通過遠程桌面功能，遠程控制局域網(wǎng)中的重要主機系統(tǒng)時，都會選擇自動記憶遠程登錄密碼。不過，當本地系統(tǒng)被加入到局域網(wǎng)特定工作域后，再通過遠程桌面功能連接重要主機系統(tǒng)時，系統(tǒng)卻會彈出憑據(jù)無法工作之類的錯誤提示，請問如何才能在遠程桌面連接中，繼續(xù)使用之前保存的登錄憑據(jù)呢？

答：只要對本地系統(tǒng)的憑據(jù)分配功能進行合適設置即可。在進行這種設置時，依次單擊“開始”、“運行”命令，在彈出的系統(tǒng)運行對話框中輸入“gpedit.msc”命令，按回車鍵后，從系統(tǒng)組策略編輯窗口的左側列表區(qū)域，依次點選“計算機配置”、“管理模板”、“系統(tǒng)”、“憑據(jù)分配”分支，找到目標分支下的“允許分配保存的憑據(jù)用于僅NTLM服務器身份驗證”選項，用鼠標雙擊該選項，切換到對應組策略的選項設置對話框，將“已啟用”選項選中，激活并按下“顯示”按鈕，打開顯示內容對話框，輸入并添加“termsrv /*”字符，連續(xù)兩次單擊“確定”按鈕，之后重新啟動一下本地系統(tǒng)，就能解決上述問題。

當用戶以遠程桌面連接方式，對Windows 2008服務器系統(tǒng)建立遠程控制后，即使他不進行任何操作，遠程桌面連接仍然會占用系統(tǒng)資源，同時還會影響其他用戶的正常連接，請問能否讓空閑的連接在指定時間自動斷開？

答：可以對Windows 2008服務器系統(tǒng)的空閑會話限制進行設置實現(xiàn)上述目的。在進行這種設置時，依次單擊“開始”、“程序”、“管理工具”、“終端服務”、“終端服務配置”命令，切換到系統(tǒng)終端服務配置窗口，用鼠標右鍵單擊“連接”列表中的“RDP-Tcp”選項，執(zhí)行右鍵菜單中的“屬性”命令，彈出“RDP-Tcp”屬性對話框；選擇“會話”選項卡，在對應選項設置頁面中選中“改寫用戶設置”項，同時將“空閑會話限制”修改為“8分鐘”左右，再將“達到會話限制或連接被中斷時”選擇為“從會話斷開”，最后重新啟動Windows 2008服務器系統(tǒng)，這樣遠程會話連接空閑時間一旦超過8分鐘，Windows 2008服務器系統(tǒng)就能自動斷開空閑遠程連接了。

最近，在管理Windows 2008服務器系統(tǒng)時，經常發(fā)現(xiàn)有來自不同網(wǎng)段的終端計算機，以遠程桌面功能隨意與該系統(tǒng)建立遠程控制連接。事實上，在平時的工作中只有10.192.1.0/255.255.255.0網(wǎng)段的終端計算機，才會對服務器系統(tǒng)有遠程控制需求。請問有沒有辦法讓Windows 2008服務器系統(tǒng)僅接受來自10.192.1.0/255.255.255.0網(wǎng)段終端機的遠程控制連接請求，而拒絕其他網(wǎng)段終端機的遠程控制連接請求呢？

答：大家不妨利用Windows 2008系統(tǒng)自帶的高級安全防火墻實現(xiàn)上述控制目的。首先啟用該系統(tǒng)的高級安全防火墻功能；依次單擊“開始”、“設置”、“控制面板”選項，在彈出的系統(tǒng)控制面板窗口中，雙擊Windows防火墻選項，在其后窗口中單擊“啟用或關閉Windows防火墻”鏈接，切換到Windows 2008系統(tǒng)防火墻基本配置窗口，選中“啟用”選項即可。其次對它的入站規(guī)則進行合適設置；在Windows防火墻管理界面中，單擊“高級設置”按鈕，切換到高級防火墻設置對話框；在其中的“入站規(guī)則”列表中，用鼠標右鍵單擊“遠程桌面”選項，點選右鍵菜單中的“屬性”命令，彈出遠程桌面連接屬性界面。選擇“常規(guī)”選項卡，在對應選項設置頁面中，將“常規(guī)”位置處的“已啟用”選中，再將“操作”處的“只允許安全連接”選中。接著選擇“作用域”選項卡，在對應選項設置頁面的“遠程IP地址”文本框中，輸入合適的IP地址即可，比方說，要是我們希望只允許10.192.1.0網(wǎng)段的客戶機與服務器系統(tǒng)建立遠程桌面連接時，那只要在這里“10.192.1.0/255.255.255.0”，再單擊“確定”按鈕保存設置即可。

每位用戶都知道，通過遠程桌面連接進行遠程控制操作時，需要使用到3389端口，請問該端口號碼能否被更改，如要改成通過1234端口建立遠程控制連接，又該如何實現(xiàn)？

答：缺省狀態(tài)下，遠程控制連接端口號碼可以修改成其他不為人所知的號碼。例如，要在Vista系統(tǒng)中將遠程桌面連接端口號碼修改為1234時，可以依次單擊“開始”、“運行”，執(zhí)行“regedit”命令，切換到注冊表編輯界面，定位到該界面左側列表區(qū)域的“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp”分支上，雙擊該分支下名為“PortNumber”的Dword值，在其后界面中選擇“十進制”，再輸入“1234”，按“確定”按鈕保存設置；接著返回到注冊表根結點，再次跳轉 到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp” 分支上，將目標分支下的“PortNumber”數(shù)值也設置為十進制的“1234”，同時重新啟動計算機系統(tǒng)，這樣遠程桌面連接端口號碼就變成1234了。日后，其他系統(tǒng)要與本地主機建立遠程桌面連接時，必須在本地主機地址后面加上“:1234”，才能連接創(chuàng)建成功。

某人通過遠程桌面功能，遠程控制單位Web服務器的時候，臨時有個文件想上傳到服務器主機中，可是無論怎么操作，也不能將本地系統(tǒng)的文件傳輸?shù)絎eb服務器中，這該如何是好呢？

答：出現(xiàn)這種現(xiàn)象，主要是小李沒有啟用遠程桌面連接程序的文件傳輸功能，導致他無法通過該連接上傳臨時文件。要解決該問題，可以依次單擊本地系統(tǒng)的“開始”、“程序”、“遠程桌面連接”命令，切換到遠程桌面連接界面，按“選項”按鈕，選擇“本地資源”選項卡，在對應選項設置頁面中選中“磁盤驅動器”選項，要是希望能使用遠端主機系統(tǒng)的打印機時，還要將“打印機”選項選中；之后，切換到“常規(guī)”選項設置頁面，輸入遠程主機的IP地址、端口號碼、登錄信息，并按“連接”按鈕，創(chuàng)建遠程桌面連接；一旦遠程連接成功后，就能象在本地系統(tǒng)復制文件那樣，向Web服務器中上傳各種文件了。

為了保護以遠程桌面方式實施的遠程控制安全，很多人利用Windows 2008服務器系統(tǒng)自帶的高級安全防火墻，為遠程控制連接創(chuàng)建了許多安全規(guī)則，不過如果允許他人隨意修改這些規(guī)則的話，遠程控制連接安全性仍然得不到保障，請問有沒有辦法禁止用戶修改遠程桌面連接安全規(guī)則？

答：只要打開Windows 2008服務器系統(tǒng)的注冊表編輯窗口，跳轉到HKEY_LOCAL_MACHIN ESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules分支上，該注冊表分支下保存了包含遠程桌面連接的許多安全規(guī)則，只要禁止非信任用戶訪問FirewallRules分支內容，就可以保護遠程桌面連接安全規(guī)則了。例如，要禁止“Everyone”帳號修改遠程桌面連接安全規(guī)則時，可以先將鼠標定位到FirewallRules分支上，依次點選“編輯”、“權限”菜單選項，按“添加”按鈕，彈出用戶帳號選擇框，選中并導入“Everyone”帳號，同時將“Everyone”帳號的“完全控制”權限調整為“拒絕”，再按“確定”按鈕保存設置，這樣普通用戶日后就不能隨意修改遠程桌面連接安全規(guī)則以及其他規(guī)則了。

在缺省狀態(tài)下，Windows系統(tǒng)會將遠程桌面連接權限授予administrator賬號，而黑客正是看準了這個弱點，往往會利用該系統(tǒng)管理員賬號對局域網(wǎng)中的重要主機系統(tǒng)進行遠程攻擊，請問怎樣快速取消系統(tǒng)管理員賬號默認的遠程桌面連接權限，以避免不必要的遠程控制操作呢？

答：很簡單！只要在遠程主機系統(tǒng)中，依次點選“開始”、“運行”選項，打開系統(tǒng)運行對話框，在其中輸入“cmd”命令，單擊“確定”按鈕后切換到DOS命令行窗口，在該窗口中執(zhí)行“net user administrator /active:no”命令，administrator賬號日后就沒有權限進行遠程桌面連接了。

有時候，準備通過遠程桌面功能，對網(wǎng)絡中的其他計算機執(zhí)行遠程控制操作時，看到對應功能沒有啟用，請問能否遠程啟用這項功能？

答：答案是肯定的！例如，在遠程啟用Windows 2003系統(tǒng)的遠程桌面功能時，可以先在本地系統(tǒng)依次單擊“開始”、“運行”命令，在系統(tǒng)運行框中輸入“regedit”命令，按回車鍵切換到注冊表編輯界面，點選“文件”、“連接網(wǎng)絡注冊表”菜單選項，輸入Windows 2003系統(tǒng)的主機名稱或IP地址，單擊“確定”按鈕彈出Windows 2003系統(tǒng)的注冊表編輯界面；依次跳轉到“server1HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server”分支上，雙擊該分支下的“fDenyTSConnections”鍵值，輸入“0”，單擊“確定”按鈕保存設置操作；接著將本地系統(tǒng)切換到DOS命令行提示符窗口，在其中執(zhí)行“shutdown-m \aaa r”命令(aaa為Windows 2003系統(tǒng)的主機名稱或IP地址)，對Windows 2003系統(tǒng)進行遠程重啟操作，啟動成功后Windows 2003系統(tǒng)的遠程桌面功能就被遠程啟用了。此時，用戶就能在本地系統(tǒng)通過“遠程桌面連接”程序，來與Windows 2003服務器系統(tǒng)建立遠程桌面連接了。

嘗試通過遠程桌面連接對服務器系統(tǒng)完成遠程控制操作后，往往會通過關閉遠程桌面窗口的形式，來退出服務器系統(tǒng)，請問這種退出形式是否徹底？

答：不徹底！即使關閉了遠程桌面窗口，筆者創(chuàng)建的遠程桌面連接仍然在服務器系統(tǒng)中處于空閑狀態(tài)，這種狀態(tài)仍然會消耗服務器系統(tǒng)的寶貴資源；要想徹底退出服務器系統(tǒng)，必須對空閑的用戶連接執(zhí)行注銷操作。在執(zhí)行注銷操作時，依次單擊服務器系統(tǒng)的“開始”、“運行”，執(zhí)行“cmd”命令，切換到MS-DOS窗口；在該窗口中輸入“quser”命令，按回車鍵后，返回所有用戶的遠程連接ID、連接賬號等，記錄下自己創(chuàng)建的遠程連接ID，再在DOS命令行窗口中執(zhí)行“l(fā)ogoff x”命令，其中“x”就是自己創(chuàng)建的遠程連接ID，這樣筆者通過遠程桌面連接占用的服務器系統(tǒng)資源就會被徹底釋放出來。

當有多人同時以遠程桌面方式，對特定主機執(zhí)行遠程控制操作后，要是有人惡作劇地中止其他人的遠程控制連接時，就會影響別人的遠程控制操作。請問有沒有辦法禁止用戶隨意注銷別人的遠程桌面連接？

答：答案是肯定的！只要打開遠程主機系統(tǒng)的運行文本框，執(zhí)行“gpedit.msc”命令，切換到系統(tǒng)組策略編輯窗口，在該窗口的左側位置處依次展開“計算機配置”、“管理模板”、“Windows組件”、“終端服務”、“終端服務器”、“連接”分支，用鼠標雙擊目標分支下面的“配置：拒絕將已經登錄到控制臺會話的管理員注銷”選項，切換到對應選項設置對話框中，選中“已啟用”選項，再按“確定”按鈕就能使上述設置立即生效了。

默認狀態(tài)下，Windows XP系統(tǒng)不允許用戶通過遠程桌面，同時與之建立多個遠程控制連接，當后續(xù)遠程連接創(chuàng)建成功時，當前遠程連接就會被系統(tǒng)強行斷開。那么如何才能讓Windows XP系統(tǒng)支持多用戶連接呢？

答：可以通過編輯注冊表來啟用Windows XP系統(tǒng)的遠程桌面連接會話并發(fā)功能。只要先打開系統(tǒng)運行文本框，執(zhí)行“regedit”命令，從系統(tǒng)注冊表編輯窗口左側位置，依次展 開“HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerLicensing Core” 分 支，在目標分支下創(chuàng)建一個名為“EnableConcurrentSessions”的雙字節(jié)鍵值，同時將該鍵值的數(shù)值設置為“1”，再重新啟動計算機系統(tǒng)即可。