科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道让Windows Server 2008远程控制更安全

让Windows Server 2008远程控制更安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Windows Server 2008系统的新功能、新特性让很多人眼前一亮,为此局域网工作环境中安装、使用Windows Server 2008系统的主机是越来越多,而该系统作为一个全新的服务器系统,我们常常需要对它进行远程控制,不过该系统的新功能、新特性注定了我们必须拓展新的思路,才能让Windows Server 2008系统远程控制更自如;这不,本文现在就对Windows Server 2008系统的远程控制功能进行深入挖掘,希望各位朋友能从下面的内容中收到启发!

来源:IT实验室 2009年3月26日

关键字: 系统安全 远程控制 Windows 2008

  • 评论
  • 分享微博
  • 分享邮件

  Windows Server 2008系统的新功能、新特性让很多人眼前一亮,为此局域网工作环境中安装、使用Windows Server 2008系统的主机是越来越多,而该系统作为一个全新的服务器系统,我们常常需要对它进行远程控制,不过该系统的新功能、新特性注定了我们必须拓展新的思路,才能让Windows Server 2008系统远程控制更自如;这不,本文现在就对Windows Server 2008系统的远程控制功能进行深入挖掘,希望各位朋友能从下面的内容中收到启发!

  1、修改远程控制端口只让自己知道

  无论是哪种类型的操作系统,在缺省状态下远程桌面连接功能一般会使用3389端口才能进行远程控制操作,Windows Server 2008系统自然也不例外,所以恶意攻击者时常会尝试通过该默认的3389端口号码进行非法连接。为了确保远程控制操作的安全性,我们应该在启用远程桌面控制功能后,及时修改该功能的网络通信端口号码,同时保证新的控制端口号码只能让自己一个人知道。在修改Windows Server 2008系统的远程桌面控制端口号码时(现在以将控制端口号码调整为“2009”为例),我们不妨进行下面的设置作:

  首先打开Windows Server 2008系统桌面中的“开始”菜单,从中依次点选“程序”/“附件”/“命令提示符”命令,之后再用鼠标右键单击“命令提示符”命令,从弹出的快捷菜单中执行“以管理员身份运行”命令,将系统切换到DOS命令行工作窗口,在该窗口的命令行提示符下执行“regedit”字符串命令,进入Windows Server 2008系统的注册表控制台窗口;

  其次在该控制台窗口左侧子窗格中用鼠标点选其中的HKEY_LOCAL_MACHINE节点选项,再从该节点选项下面依次展开目标注册表子项“SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”(如果无法找到时可以自行创建),在目标注册表子项的右侧显示窗格中,检查是否存在双字节值PortNumber,要是不存在时,我们可以用鼠标右键单击空白区域,从其后出现的右键菜单中依次点选“新建”、“Dword值(32-位)值”菜单命令,来自行创建一个名为“PortNumber”的双字节值,之后用鼠标双击“PortNumber”键值,此时系统屏幕上会出现一个如图1所示的设置窗口,选中其中的“十进制”项目,再在“数值数据”对话框中输入自己想要的端口号码,这里我们应该输入的是“2009”,再单击“确定”按钮完成上述设置操作;

  同样地,我们再从HKEY_LOCAL_MACHINE节点选项下面依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”注册表子项,在目标注册表子项下面也创建一个名为“PortNumber”双字节键值,并且将该键值的数值也调整为“2009”,最后单击“确定”按钮退出Windows Server 2008系统注册表控制台窗口,并重新启动一下对应系统就可以使上述设置操作正式生效了。

  要是调整好远程桌面控制端口号码后,日后我们想从局域网的普通工作站中与Windows Server 2008系统建立远程控制连接时,应该在目标远程主机后面直接添加上新的控制端口号码,比方说Windows Server 2008系统主机使用的IP地址假设为10.192.168.156时,那么通过远程桌面连接该系统主机时就应该将远程控制主机的地址修改为“10.192.168.156:2009”,而那些不清楚新控制端口号码的任何一位用户就不能与Windows Server 2008系统建立远程控制连接了。

  

  图1

  2、修改验证方式让远程连接更顺畅

  虽然旧的服务器系统也支持远程桌面控制功能,可是Windows Server 2008系统却在安全性能方面对远程桌面控制功能进行了特别强化,它允许我们进行一些有针对性设置来限制局域网用户随意进行远程控制登录,以避免一些恶意攻击者也偷偷使用远程桌面控制连接来非法攻击Windows Server 2008服务器系统。不过,Windows Server 2008系统新增加的远程控制网络级身份验证功能,给我们的远程控制操作带来了很大的麻烦,该功能要求客户端系统必须安装使用Windows Vista系统或Windows Server 2008系统,才能对远程主机进行远程控制操作,其他任何操作系统都不能与Windows Server 2008服务器系统建立远程控制连接,这样一来就会影响我们对Windows Server 2008系统的远程控制效率。为了让远程控制连接更顺畅、更高效,我们可以修改Windows Server 2008系统默认使用的身份验证方式,以便让其允许任意版本的操作系统与之建立远程控制连接,下面就是具体的设置步骤:

  首先以系统管理员身份登录Windows Server 2008服务器系统,依次单击该系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令,进入Windows Server 2008服务器系统的服务器管理器界面;

  其次在服务器管理器界面的左侧子窗格中选中“服务器管理”分支选项,在“服务器管理”分支选项下面单击“服务器摘要”位置处的“配置远程桌面”选项,打开Windows Server 2008服务器系统的远程桌面参数设置窗口;

  在该参数设置窗口的“远程桌面”处,我们发现这里有三个功能选项,要是我们想让局域网中的任意一台工作站系统,都可以非常顺畅地使用远程桌面功能来对Windows Server 2008服务器系统进行远程控制操作时,那可以尝试选中“允许运行任意版本远程桌面的计算机连接”功能选项(如图2所示),这样一来我们日后就能很顺畅地与Windows Server 2008服务器系统建立远程控制操作了,不过如果随意使用这种功能选项,容易对Windows Server 2008服务器系统带来安全威胁。

  

  图2

  3、远程打开目标主机远程控制功能

  当我们准备借助远程桌面连接方式来对Windows Server 2008服务器系统进行远程控制、管理时,有时会遭遇不能与对应系统建立远程控制连接的故障现象,在对各种可能的因素进行依次排查后,我们发现Windows Server 2008系统在被一些第三方工具自动优化之后,先前能够正常启用的远程桌面控制功能竟然被意外地关闭运行了,这么一来,我们往往只有赶到Windows Server 2008系统现场才能重新将远程桌面控制功能恢复正常。事实上,我们只要能从普通工作站端正常Ping通Windows Server 2008系统,就可以远程打开对应系统的远程桌面控制功能,下面就是远程打开目标主机远程控制功能的具体实施步骤:

  首先从局域网网络中任意选择一台可以正常Ping通Windows Server 2008服务器系统的普通工作站作为远程控制终端,在该工作站系统桌面中依次点选“开始”、“运行”选项,在其后出现的系统运行对话框中,输入字符串命令“mmc”,单击“确定”按钮后,打开本地工作站的系统控制台窗口;

  其次在该控制台窗口中依次单击菜单栏中的“文件”/“添加/删除管理单元”命令,进入添加/删除管理单元设置窗口,从该设置窗口的可用管理单元列表中将“服务”项目选中,并且单击中间显示窗格中的“添加”按钮,打开如图3所示的设置对话框;

  下面再从该设置对话框中将“另一台计算机”项目选中,并且在对应该选项后面的对话框中正确输入Windows Server 2008服务器系统所在主机的计算机名称或IP地址,再单击“完成”按钮退出添加设置对话框,最后单击“确定”按钮保存好上述设置操作,这个时候我们就能在本地工作站系统中看到Windows Server 2008服务器系统中的服务列表了,选择服务列表中的目标系统服务“Terminal services”,同时用鼠标双击“Terminal services”服务选项,打开目标系统服务的属性设置对话框,先单击该设置对话框中的“启动”按钮,来将Windows Server 2008服务器系统的“Terminal services”服务恢复正常的启动状态,之后还需要将目标系统服务的启动类型参数修改为“自动”启动类型,如此一来Windows Server 2008服务器系统中的远程桌面控制功能又会被重新启用起来,此时我们就可以重新与该服务器系统建立远程桌面控制连接了。

  

  图3

  4、让远程控制处于防火墙保护之中

  大家知道,Windows Server 2008系统自带的防火墙功能非常强大,这不,巧妙设置该防火墙我们可以让远程控制操作处于防火墙的安全保护之中。比方说,要是我们只想让IP地址为10.192.168.156的普通工作站,可以使用远程桌面连接来对局域网域中的Windows Server 2008系统建立远程控制连接时,就可以通过设置Windows Server 2008中的防火墙相关组策略参数来实现这样的控制目的,下面就是具体的实施步骤:

  首先打开Windows Server 2008系统的“开始”菜单,从中单击“运行”命令,打开对应系统的运行对话框,在其中输入“gpedit.msc”字符串命令,单击回车键后,进入对应系统的组策略控制台窗口;

  其次将鼠标定位于该组策略控制台窗口左侧显示区域中的“本地计算机策略”分支选项,再从该分支下面依次展开/“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“域配置文件”目标组策略子项,在目标组策略子项下面找到“Windows防火墙:允许入站远程管理例外”组策略选项,再用鼠标双击该选项,打开如图4所示的属性设置对话框;

  下面检查该设置对话框中的“已启用”选项是否处于选中状态,如果没有选中时我们应该将它及时重新选中,再在“允许来自这些IP地址的未经请求的传入消息”对话框中正确输入“10.192.168.156”,最后单击“确定”按钮完成上述设置任务,这样的话日后局域网中IP地址为的10.192.168.156的普通工作站,才有权利使用远程桌面连接方式访问域中的Windows Server 2008系统,其他任何用户都不能对Windows Server 2008系统进行远程控制操作。

  当然,如果我们希望暂时阻止局域网中的所有工作站使用远程桌面连接方式访问Windows Server 2008系统时,也可以打开对应系统的基本防火墙配置窗口,来禁止Windows Server 2008系统的远程桌面自动接受网络访问请求;在进行这种操作时,我们可以在Windows Server 2008系统的“开始”菜单中,依次点选“设置”/“控制面板”选项,之后在控制面板窗口中双击Windows防火墙图标,再在其后出现的窗口中单击“启用或关闭Windows防火墙”选项,进入Windows Server 2008系统的基本防火墙配置窗口;

  之后单击“例外”选项卡,看看对应选项设置页面中的“远程桌面”功能选项是否处于选中状态,如果看到该选项已经被选中时,那就说明Windows Server 2008系统自带的防火墙没有对远程桌面连接操作进行限制,这个时候我们可以在这里将“远程桌面”功能选项取消选中,再单击“确定”按钮保存好上述设置操作,如此一来局域网中的任何普通工作站在远程控制Windows Server 2008系统时,都会受到防火墙的阻止了。

  

  图4

  5、将远程控制权授予合法控制用户

  要是将Windows Server 2008系统的远程桌面连接功能启用成功后,该系统就像似开通了一扇后门一样,合法的控制用户能进来,不合法的控制用户同样也能贸然进来,这样的话Windows Server 2008系统的安全性能就会受到不小的威胁。为了保证Windows Server 2008系统能够始终安全地运行,我们可以将远程控制权授予合法控制用户,下面就是具体的设置步骤:

  首先以系统管理员身份登录Windows Server 2008服务器系统,依次单击该系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”命令,进入Windows Server 2008服务器系统的服务器管理器界面;

  其次在服务器管理器界面的左侧子窗格中选中“服务器管理”分支选项,在“服务器管理”分支选项下面单击“服务器摘要”位置处的“配置远程桌面”选项,打开Windows Server 2008服务器系统的远程桌面参数设置窗口;

  下面在远程桌面参数设置窗口中单击“远程桌面”位置处的“选择用户”按钮,当屏幕上出现如图5所示的设置窗口时,我们可以在该设置窗口中将那些陌生的远程控制用户账号一一选中并删除掉,之后再单击“添加”按钮,打开用户账号设置窗口,从中将我们信任的合法用户账号名称选中并添加进来,再单击“确定”按钮完成授权设置操作,这样的话那些没有经过授权的非法用户日后就不能使用远程桌面功能来对Windows Server 2008系统进行远程控制操作了。

  不过,有一点在这里需要提醒大家注意的是,我们尽量不要将远程控制权限授予组用户账号,而应该根据实际情况对具体的某个可信任用户进行远程控制授权。而且,我们也不能对Administrators这个特权账号进行直接授权,这也是非常不安全的,毕竟要是恶意攻击者通过远程方式获得了Windows Server 2008系统的一个shell,那么恶意攻击者只要自行创建一个隶属管理员组级别的任意账号,并通过该账号就可以很轻松地使用远程桌面功能来远程控制Windows Server 2008了。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章