Windows Server 2008遠程桌面策略

遠程桌面是管理員對Windows系統實施遠程管理和維護的首先工具，固然也是攻擊者窺視和企圖接管的對象。所以，一個有經驗的系統管理員在客戶端或者服務器上開啓遠程桌面後定會進行必定的安所有署。對於Windows Server 2008來講，遠程桌面是終端服務的一個功能，Windows Server 2008的安全特性和相關細節，爲用戶進行遠程桌面管理以及提高其安全性提供了更多選項。本文將和你們一道挖掘Windows Server 2008遠程桌面管理中的相關技術細節。 　 　1、啓用遠程桌面時應注意的細節 　　在 Windows Server 2008 中開啓遠程桌面的操做是很是簡單的，但不一樣於此前的系統它提供了更多的安全選項，這些選項是咱們應用注意的。另外，由於 Windows Server 2008 的安全特性，你們在開啓遠程桌面前或者開啓以後還應用注意有關事項。 　　 (1). 慎重選擇限制遠程鏈接系統的版本 　　依次點擊 「 控制面板 」→「 系統和維護 」→「 系統 」 進入系統管理頁面，單擊左窗格中的 「 遠程設置 」 連接打開 「 系統屬性 」 對話框，點擊 「 遠程 」 選項卡來到啓用遠程桌面窗口。對於啓用遠程桌面你們可謂輕車熟路，但該頁面中啓用 Windows Server 2008 遠程桌面的兩個選項但願引發你們的注意。首先是 「 容許運行任意版本遠程桌面的計算機鏈接 ( 較不安全 ) 」 選項，若是選擇該項那麼任意版本的 Windows 均可以經過遠程桌面鏈接到該主機，毫無疑問，這是不安全的。在此，管理員應該作考量是否限制遠程鏈接的系統版本以提高遠程桌面的安全，通常狀況下管理員應該以本身平時使用的系統版本爲依據進行選擇。另一個選項是 「 只容許運行帶網絡身份驗證的遠程桌面的計算機鏈接 ( 更安全 ) 」 ，若是選擇該項，那麼將只容許安裝了 Windows Vista 、 Windows Server 2008 、 Windows 7 的計算機進行遠程鏈接。若是條件容許，筆者固然建議你們選擇該項，畢竟安全第一嘛。 ( 圖 1) 　　 (2). 帳戶和防火牆相關的注意事項 　　在 Windows Server 2008 上開啓遠程桌面時還需注意，全部遠程鏈接必須使用帶有密碼的帳戶建立，若是系統中的某個本地帳戶沒有密碼，那麼就沒法使用該帳戶進行遠程鏈接。這是一些我的用戶常常遇到的問題，明明開啓了遠程桌面但就是沒法經過帳戶登陸。 　　另外，考慮到 Windows Server 2008 的防火牆很是強大通常用戶會選擇時系統防火牆，此時若是開啓遠程桌面的話，系統防火牆會自動建立一個例外，容許遠程桌面協議 (RDP) 鏈接穿透防火牆。默認狀況下，該協議使用 TCP 3389 端口，同時在註冊表的 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp\\PortNumber 鍵值中記錄了該端口號。出於安全考慮，但願你們將該端口號更改成一個陌生的端口，更改的方法就是修改該註冊表鍵值的值。若是計算機系統使用了其餘第三方防火牆，則不行要在該防火牆中打開該端口，以容許創建傳入的遠程桌面協議 (RDP) 鏈接。在此提醒的是，容許鏈接的端口是你更改後的端口而不是此前的 TCP 3389 端口。 ( 圖 2) 2 、對遠程登陸用戶可採用的受權方法 　　默認狀況下， Administrators 組中的全部成員均可以遠程登陸，同時 Windows Server 2008 Active Directory 中的 Remote Desktop Users 組的成員也能夠進行遠程管理。處於安全考慮，咱們必須更改默認受權而實施對特定的用戶或者組受權。 　　 (1). 在遠程桌面控制檯中受權 　　在 Windows Server 2008 的 「 系統屬性 」 對話框中，單擊 「 遠程 」 選項卡進入遠程桌面設置窗口。在開啓遠程桌面後，單擊其中的 「 選擇用戶 」 按鈕，隨後打開 「 遠程桌面用戶 」 對話框，同時全部 Remote Desktop Users 組的成員都會被列在這裏。要添加新的用戶或者組到該列表，單擊 「 添加 」 按鈕打開 「 選擇用戶或組 」 對話框。在該對話框中輸入所選或默認域中用戶或組的名稱，而後單擊 「 檢查名稱 」 。若是找到了多個匹配項目，則須要選擇要使用的名稱，而後單擊 「 肯定 」 。固然也能夠單擊 「 查找範圍 」 按鈕，選擇其餘位置經過查找功能添加相應的用戶。若是還但願添加其餘用戶或者組，注意在它們直接輸入分號 (;) 做爲間隔。再次，筆者的建議是：刪除對於組的受權，而只授予特定的用戶遠程鏈接權限。這樣就會增長攻擊者猜解用戶帳戶的難度，從而提高了遠程桌面的安全。做爲一個安全技巧，你們能夠取消 administrator 帳戶的遠程鏈接權限，而賦予其餘對於攻擊者來講比較陌生的帳戶的遠程鏈接權限。 ( 圖 3) 　　 (2). 經過組策略限制遠程登陸 　　在組策略中， Administrators 和 Remote Desktop Users 組的成員默認具備 「 容許經過終端服務登陸 」 的用戶權限。若是修改過組策略，可能須要複查，以確保這個用戶權限依然被分配給這些組。通常來講，能夠針對具體的計算機複查設置，但也能夠經過站點、域已經組織單元策略進行復查。打開相應的組策略對象，而後依次展開 「 計算機配置 」→「 Windows 設置 」→「 安全設置 」→「 本地策略 」→「 用權限指派 」 ，雙擊 「 經過終端服務容許登陸 」 策略，查看要使用的用戶和組是否在列。 ( 圖 4) 　　若是但願限制用戶對服務器進行遠程登陸，能夠打開相應的組策略對象，展開 「 計算機配置 」→「 Windows 設置 」→「 安全設置 」→「 本地策略 」→「 用權限指派 」 節點，雙擊 「 經過終端服務拒絕登陸 」 策略。在該策略的屬性對話框中，選擇 「 拒絕這些策略設置 」 ，而後單擊 「 添加用戶或組 」 ，在添加用戶或組對話框中，單擊 「 瀏覽 」 ，並使用選擇用戶、計算機或組對話框輸入但願拒絕經過終端服務進行本地登陸的用戶或組的名稱，而後單擊 「 肯定 」 便可。另外，也能夠在終端服務配置工具中修改組的默認權限。例如，能夠將對終端訪問對象具備徹底控制權限的 Administrators 組刪除。 ( 圖 5) 3 、在組策略中配置遠程桌面管理 　　遠程桌面管理是終端服務的一部分，固然也可以使用組策略配置遠程桌面。其實，微軟也建議首先使用組策略做爲終端服務和遠程桌面管理功能的首選工具。在實戰中，咱們能夠針對特定的計算機配置本地策略，或在域中的組織單元 (OU) 上設置。咱們可使用組策略對象編輯器進行修改，定位到 「 計算機配置 」→「 管理模板 」→「 Windows 組件 」→「 終端服務 」 節點以及 「 用戶配置 」→「 管理模板 」→「 Windows 組件 」→「 終端服務 」 節點下進行設置。該節點下有 6 個配置項目，你們能夠根據須要進行配置。通常來講，遠程桌面管理都用於對企業內部的服務器進行管理，但終端服務服務器一般都會使用獨立的 OU 被隔離在特定的組中。所以若是打算在企業內部使用終端服務服務器，則應該考慮爲終端服務服務器建立獨立的 OU ，這樣就能夠經過遠程桌面單獨管理終端服務服務器。 ( 圖 6) 4、遠程桌面鏈接客戶端設置技巧 　　 Windows Server 2008 使用的遠程桌面鏈接客戶端 (mstsc) 是最新的第 6 版本，這個版本的鏈接客戶端相比之前的版本有了較大的改進，增長了許多有趣而實用的功能。下面和你們共享幾個使用 mstsc 進程遠程桌面鏈接中的相關技巧。 　　 (1). 自定義顯示分辨率 　　 Windows Server 2008 中的 mstsc 支持高達 1680 × 1920 或 1920 × 1200 或更高的分辨率。除了能夠在 mstsc 的圖形界面中設置分辨率外，固然最快捷的是直接經過命令設置。好比咱們運行 「 mstsc /w:1920 /h:1200 」 即將客戶端的分辨率設置爲 1920 × 1200 ，其中 /h 、 /w 是參數分別表示屏幕的高和寬。若是你們將某次桌面鏈接配置保存爲 RDP 文件，咱們能夠打開該文件而後修改其中的 desktopwidth 和 desktopheigh 後面數值以改變屏幕大小。例如 desktopwidth:i:1920 或 desktopheigh:i:1200 。 ( 圖 7) 　　 (2). 在遠程桌面中使用多顯示器 　　 Windows Server 2008 中的 mstsc 支持多顯示器，這樣就可以顯示遠程會話的全部內容。須要說明的是：要使用多顯示器，那麼這些顯示器必須水平對齊，並使用一樣的分辨率。要使用遠程桌面的多顯示器跨越功能，須要在 mstsc 中添加 /span 參數，例如 「 mstsc /span 」 。固然，咱們也能夠經過修改 RDP 文件中的特定數值實現顯示器跨越，好比 「 Span:i:1 」 　　 (3). 調整傳輸數據的優先級 　　 Windows Server 2008 中的 mstsc 在顯示遠程系統的數據方面是有必定的優先級的。咱們但願的優先級是：顯示器、鍵盤和鼠標的相關數據比其餘類型的數據，好比打印機或文件傳輸更優先處理。默認狀況下，顯示器和輸入數據將佔能夠帶寬的 70% ，而其餘通訊只佔能夠帶寬的 30% 。在某些特殊狀況下，咱們須要調整這個默認的優先級以符合咱們的特殊需求。要修改這個優先級就須要在 Windows Server 2008 的註冊表中進行修改，其註冊表項是 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Servers\\TermDD 。須要條的子鍵是 ( 若是沒有這些鍵值能夠本身建立，這些鍵值都是 32 位的 DWORD 值 ) ： 　　 FlowControlDisable 將其值設置爲 「 1 」 就會禁止顯示數據的優先級，反之，全部不一樣的數據就請求都會被同等對待，其餘是註冊表值就會被忽略。 　　 FlowControlDisplayBandWidth 該鍵值設置相對帶寬優先級的比例，其默認值是 70 ，最大容許的數值是 255 。 　　 FlowControlChannelBandWidth 該鍵值設置其餘數據好比打印機、文件傳輸等佔用的能夠帶寬比例，其默認值是 30 ，最大能夠設置爲 255 。 　　 FlowControlChargePostCompression 該鍵值決定是否要根據演示前和壓縮後的數據大小決定帶寬的分配，默認值是 「 0 」 ，意味着比例的計算是根據壓縮前數據的大小進行的。大多數狀況下，咱們但願以這種方式進行，由於這樣確保了客戶端不要在發送數據前等待數據壓縮完畢，節省了時間。 ( 圖 8) 　　 (4). 選擇鏈接客戶端啓動的方式 　　 Windows Server 2008 中啓動遠程桌面鏈接客戶端可採用兩種方式，即管理模式和虛擬會話模式。相比虛擬會話模式，管理模式可以極大地改善管理員成功執行程序、應用程序和進程的成功率。所以，做爲管理員建議採用管理模式啓動遠程鏈接客戶端。下面筆者分別說說這兩種鏈接方式如何啓動。 　　運行於虛擬會話模式 　　虛擬會話模式可被管理員和其餘用戶用於在遠程系統上啓動虛擬會話。要運行虛擬會話模式可執行下面的操做：在命令行或者運行對話框中運行命令 「 mstsc 」 ，或者單擊 「 開始 」→「 全部程序 」→「 附件 」 ，而後選擇 「 遠程桌面鏈接 」 選項便可啓動虛擬模式的遠程桌面鏈接客戶端。 　　運行於管理模式 　　管理模式可被管理員用於與遠程系統的控制檯進行徹底的交互。要運行管理模式的客戶端，必須根據客戶端的類型進行下列操做：在命令行或者運行對話框中執行 「 mstsc /admin 」 或者 「 mstsc /console 」 。 ( 圖 9) 5 、遠程登陸用戶的監視 　　 Windows Server 2008 是容許有多個用戶同時經過遠程桌面鏈接的，所以管理員必定要作好遠程登陸用戶的監控，以甄別是否有可疑或者非法的遠程鏈接。除了可使用終端服務管理器查看登陸會話外，咱們還能夠經過兩種方法來監控遠程登陸的用戶。 　　首先的使用 quser 命令，經過 telnet 鏈接到該服務器或在本地命令行先執行命令 quser 命令便可看到誰已經登陸當前系統。或者咱們也能夠運行命令 「 quser /server:ServerName 」 來查看登陸到遠程服務器上的用戶，其中 ServerName 的服務器的名稱。如圖所示，該服務器上有兩個活動的會話，其中 ctocio 登陸到了一個活動的 RDP 會話，會話 ID 是 2 ，意味着是會話 2 。 administrator 登陸到了本地控制檯，會話 ID 是 2 ，即會話 1 。 ( 圖 10) 　　在此，筆者和你們共享一個技巧。有時候當有多個用戶經過遠程桌面登陸到服務器，但並無有效註銷，此時當有其餘的用戶要經過遠程桌面登陸到服務器時會由於用戶鏈接超過受權數而沒法登陸。此時，咱們就可遠程 telnet 到服務器或者在服務器的命令提示符中執行命令 「 logoff ID 」 來註銷某個用戶，其中 ID 就是會話序號，好比執行 「 logoff 2 」 就將強迫 ctocio 用戶從系統註銷。這樣，其餘的用戶就能夠經過遠程桌面登陸系統了。 ( 圖 11) 　　除了命令外，咱們還能夠經過 「 任務管理器 」 查看用戶會話。單擊任務欄選擇 「 任務管理 」 便可打開任務管理器窗口，點擊 「 用戶 」 選項卡能夠看到當前登陸服務器的用戶。在此，咱們能夠對特定用戶執行 「 斷開 」 、 「 註銷 」 操做，固然也能夠 「 發送消息 」 。 ( 圖 12) 　　筆者這裏要強調一下，註銷用戶和斷開用戶是是徹底不一樣的。若是斷開一個會話，這會話將處於斷開狀態，但依然會在進程中執行。若是註銷用戶，則會結束該用戶的會話，同時關閉該用戶運行的全部應用程序，同時還會結束該用戶運行的全部前臺進程。筆者建議，管理員在遠程維護完成後最好以 「 註銷 」 的方式斷開和服務器的鏈接。這樣不只會釋放服務器資源，並且方便下一次的登陸。每每有很多用戶在遠程登陸完成後會直接關閉遠程桌面客戶端窗口，這樣的操做就相似 「 斷開 」 操做，它還佔用着服務器會話通道，當達到服務器的用戶受權上限時其餘用戶就不可以遠程登陸到服務器。 6 、解惑遠程登陸驗證證書無效或者過時 　　有時候當咱們經過遠程桌面客戶端鏈接服務器時，會收到 「 從遠程計算機得到的驗證證書無效或過時 」 的錯誤提示，這時什麼緣由呢 ? 其實，在默認狀況下在創建 RDP 鏈接以前，計算機還須要驗證遠程計算機的身份。若是遠程計算機的驗證證書無效或者過時，將沒法鏈接，同時還會受到相似的警告信息。對此，咱們首先應該檢查一下兩臺計算機的日期和時間設置是否正確。由於若是兩臺計算機之間的時間和日期有誤差，則可能會致使驗證證書無效。固然，若是不但願計算機驗證遠程計算機的身份，咱們能夠禁用該功能。其具體設置方法是：在遠程桌面鏈接器窗口中單擊 「 選項 」 打開額外配置選項卡，進入高級選項卡，而後設置服務器驗證選項爲 「 鏈接而且不向我發送警告 」 便可。 ( 圖 13) 　　總結：本文和你們共享了Windows Server 2008遠程桌面管理中容易被忽略某些技術細節，同時也和朋友們分享了筆者的一些經驗。最後但願這些細節和經驗可以對你們有所幫助。