強(qiáng)迫執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證

　　盡管傳統(tǒng)操作系統(tǒng)也具有遠(yuǎn)程桌面功能，不過(guò)Windows Server 2008系統(tǒng)對(duì)遠(yuǎn)程桌面功能的安全性能進(jìn)行了強(qiáng)化，它允許網(wǎng)絡(luò)管理員通過(guò)合適設(shè)置來(lái)強(qiáng)迫遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證，以防止一些非法用戶也趁機(jī)使用遠(yuǎn)程桌面功能來(lái)入侵Windows Server 2008服務(wù)器系統(tǒng)。要實(shí)現(xiàn)強(qiáng)迫遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證操作時(shí)，我們必須按照如下步驟來(lái)設(shè)置Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接參數(shù)：

　　首先以超級(jí)用戶的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，打開(kāi)對(duì)應(yīng)系統(tǒng)的“開(kāi)始”菜單，從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng)，打開(kāi)本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口；

　　其次將鼠標(biāo)定位于服務(wù)器管理器控制臺(tái)窗口左側(cè)顯示區(qū)域中的“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)上，在對(duì)應(yīng)“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)的右側(cè)顯示區(qū)域，單擊“服務(wù)器摘要”設(shè)置區(qū)域中的“配置遠(yuǎn)程桌面”鏈接，打開(kāi)服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對(duì)話框；

　　在該設(shè)置對(duì)話框的“遠(yuǎn)程桌面”處，服務(wù)器系統(tǒng)共為我們提供了三個(gè)設(shè)置選項(xiàng)，如果我們想讓局域網(wǎng)中的任何一臺(tái)普通計(jì)算機(jī)都能順利使用遠(yuǎn)程桌面連接來(lái)遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)時(shí)，那應(yīng)該將“允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接”功能選項(xiàng)選中，當(dāng)然這種功能選項(xiàng)容易對(duì)Windows Server 2008服務(wù)器系統(tǒng)的運(yùn)行安全性帶來(lái)麻煩。

　　為了讓我們能夠安全地使用遠(yuǎn)程桌面功能來(lái)遠(yuǎn)程控制服務(wù)器，Windows Server 2008系統(tǒng)推出了“只允許運(yùn)行帶網(wǎng)絡(luò)級(jí)身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”這一控制選項(xiàng)（如圖1所示），我們只要將該控制選項(xiàng)選中，再單擊“確定”按鈕保存好設(shè)置操作，日后Windows Server 2008系統(tǒng)就會(huì)自動(dòng)強(qiáng)制對(duì)任何一位遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證操作了，這樣的話非法用戶自然也就不能輕易通過(guò)遠(yuǎn)程桌面連接功能來(lái)非法攻擊Windows Server 2008服務(wù)器系統(tǒng)了。

   只許特定用戶使用遠(yuǎn)程桌面

　　要是開(kāi)通了Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能，本地服務(wù)器中也就多開(kāi)了一扇后門(mén)，有權(quán)限的用戶能進(jìn)來(lái)，沒(méi)有權(quán)限的用戶同樣也能進(jìn)來(lái)，如此一來(lái)本地服務(wù)器系統(tǒng)的運(yùn)行安全性自然就容易受到威脅。事實(shí)上，我們可以對(duì)Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能進(jìn)行合適設(shè)置，讓有遠(yuǎn)程管理需求的特定用戶能從遠(yuǎn)程桌面這扇后門(mén)中進(jìn)來(lái)，其他任何用戶都不允許自由進(jìn)出，那樣的話Windows Server 2008服務(wù)器系統(tǒng)受到非法攻擊的可能性就會(huì)大大降低了；要想讓特定用戶使用遠(yuǎn)程桌面功能，我們可以按照如下操作來(lái)設(shè)置Windows Server 2008服務(wù)器系統(tǒng)：

　　首先打開(kāi)Windows Server 2008服務(wù)器系統(tǒng)的“開(kāi)始”菜單，從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng)，進(jìn)入本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口；

　　其次單擊服務(wù)器管理器控制臺(tái)窗口右側(cè)區(qū)域中的“配置遠(yuǎn)程桌面”鏈接選項(xiàng)，打開(kāi)服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對(duì)話框，單擊該對(duì)話框中的“選擇用戶”按鈕，系統(tǒng)屏幕上將會(huì)出現(xiàn)如圖2所示的設(shè)置窗口；

    
    將該設(shè)置窗口中已經(jīng)存在的用戶賬號(hào)一一選中，并單擊“刪除”按鈕；之后，再單擊“添加”按鈕，在其后出現(xiàn)的用戶賬號(hào)瀏覽對(duì)話框中，找到有遠(yuǎn)程管理需求的特定用戶賬號(hào)，并將該賬號(hào)選中添加進(jìn)來(lái)，再單擊“確定”按鈕退出設(shè)置操作，這樣的話任何一位普通用戶日后都不能使用遠(yuǎn)程桌面功能來(lái)對(duì)Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程管理了，而只有在這里設(shè)置的特定用戶才有權(quán)限通過(guò)遠(yuǎn)程桌面連接訪問(wèn)目標(biāo)服務(wù)器系統(tǒng)。

   禁止administrator使用遠(yuǎn)程桌面

　　在缺省狀態(tài)下，Windows Server 2008服務(wù)器系統(tǒng)允許administrator賬號(hào)使用遠(yuǎn)程桌面功能，為了防止非法攻擊者嘗試使用該用戶賬號(hào)來(lái)攻擊本地服務(wù)器系統(tǒng)，我們可以按照下面的操作來(lái)禁止administrator賬號(hào)通過(guò)遠(yuǎn)程桌面連接來(lái)訪問(wèn)Windows Server 2008服務(wù)器系統(tǒng)：

　　由于從服務(wù)器系統(tǒng)中無(wú)法直接刪除administrator賬號(hào)，為此我們可以采用最為極端的方法，那就是將administrator賬號(hào)強(qiáng)行禁用；禁用該用戶賬號(hào)最簡(jiǎn)單的方法就是先依次單擊服務(wù)器系統(tǒng)桌面中的“開(kāi)始”/“程序”/“附件”選項(xiàng)，從下拉菜單中選中“命令提示符”命令，并用鼠標(biāo)右鍵單擊該命令選項(xiàng)，再執(zhí)行右鍵菜單中的“以管理員身份運(yùn)行”命令，打開(kāi)Windows Server 2008系統(tǒng)的MS-DOS工作窗口，在該窗口的命令行中執(zhí)行字符串命令“net user administrator /active:no”就可以了。

　　不過(guò)，上面的方法往往會(huì)影響網(wǎng)絡(luò)管理員正常管理服務(wù)器系統(tǒng)，為此我們還可以通過(guò)為administrator賬號(hào)更名的方式，來(lái)禁止administrator使用Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接：

    
    當(dāng)然，我們也可以通過(guò)將administrator賬號(hào)的終端登錄權(quán)限取消的方法，來(lái)達(dá)到禁止administrator使用遠(yuǎn)程桌面功能的目的；在取消administrator賬號(hào)的終端登錄權(quán)限時(shí)，我們可以先按前面操作打開(kāi)服務(wù)器系統(tǒng)的組策略編輯控制臺(tái)窗口，將鼠標(biāo)定位于組策略編輯控制臺(tái)窗口左側(cè)區(qū)域中的“計(jì)算機(jī)配置”分支選項(xiàng)上，再?gòu)脑摲种旅嬉来握归_(kāi)“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)限分配”子項(xiàng)，在對(duì)應(yīng)“用戶權(quán)限分配”子項(xiàng)的右側(cè)顯示區(qū)域中，雙擊目標(biāo)組策略選項(xiàng)“通過(guò)終端服務(wù)允許登錄”，在其后彈出的窗口中將administrators賬號(hào)刪除掉，如此一來(lái)，當(dāng)非法用戶嘗試使用administrator賬號(hào)遠(yuǎn)程連接Windows Server 2008服務(wù)器系統(tǒng)時(shí)，就會(huì)出現(xiàn)拒絕登錄的報(bào)警提示。

   只許特定計(jì)算機(jī)使用遠(yuǎn)程桌面

　　有的時(shí)候，為了防止局域網(wǎng)中的計(jì)算機(jī)病毒隨意通過(guò)遠(yuǎn)程桌面連接傳染給Windows Server 2008服務(wù)器系統(tǒng)，我們需要限定任何用戶只能從局域網(wǎng)中特定的安全計(jì)算機(jī)上使用遠(yuǎn)程桌面功能，來(lái)遠(yuǎn)程控制目標(biāo)服務(wù)器系統(tǒng)。為了實(shí)現(xiàn)只許特定計(jì)算機(jī)使用遠(yuǎn)程桌面與Windows Server 2008服務(wù)器系統(tǒng)建立連接的目的，我們可以按照如下步驟來(lái)設(shè)置本地服務(wù)器系統(tǒng)：

　　首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開(kāi)始”/“運(yùn)行”命令，打開(kāi)系統(tǒng)運(yùn)行文本框，在其中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開(kāi)組策略編輯控制臺(tái)窗口；

　　其次在該控制臺(tái)窗口的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位于“計(jì)算機(jī)配置”分支選項(xiàng)上，再?gòu)脑摲种旅嬉来握归_(kāi)“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接”/“Windows防火墻”/“標(biāo)準(zhǔn)配置文件”子項(xiàng)，找到“標(biāo)準(zhǔn)配置文件”子項(xiàng)下面的“Windows防火墻：允許入站遠(yuǎn)程管理例外”目標(biāo)組策略項(xiàng)目，用鼠標(biāo)雙擊該項(xiàng)目，打開(kāi)如圖4所示的屬性設(shè)置界面；

    
    下面將該設(shè)置界面中的“已啟用”項(xiàng)目選中，并且在其后自動(dòng)激活的“允許來(lái)自這些IP地址的未經(jīng)請(qǐng)求的傳入消息”文本框中輸入安全的特定計(jì)算機(jī)IP地址，再單擊“確定”按鈕完成設(shè)置操作，這樣的話任何用戶日后只能從這里指定的普通計(jì)算機(jī)上使用遠(yuǎn)程桌面功能來(lái)遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)了。  禁止所有計(jì)算機(jī)使用遠(yuǎn)程桌面

　　在排查網(wǎng)絡(luò)故障的時(shí)候，我們有時(shí)需要臨時(shí)禁止局域網(wǎng)中的所有計(jì)算機(jī)與Windows Server 2008服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接，實(shí)現(xiàn)這種控制目的的方法有很多，不過(guò)最為簡(jiǎn)單的方法，就是利用服務(wù)器系統(tǒng)內(nèi)置防火墻功能來(lái)快速禁止Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面訪問(wèn)網(wǎng)絡(luò)，下面就是具體的限制步驟：

　　首先打開(kāi)Windows Server 2008服務(wù)器系統(tǒng)桌面的“開(kāi)始”菜單，從中依次單擊“設(shè)置”/“控制面板”選項(xiàng)，在彈出的系統(tǒng)控制面板窗口中，雙擊Windows防火墻選項(xiàng)，在其后彈出的窗口中單擊左側(cè)區(qū)域中的“啟用或關(guān)閉Windows防火墻”鏈接，進(jìn)入Windows Server 2008系統(tǒng)的防火墻基本配置窗口；

　　接著單擊基本配置窗口中的“例外”選項(xiàng)卡，打開(kāi)如圖5所示的選項(xiàng)設(shè)置頁(yè)面，將該頁(yè)面中的“遠(yuǎn)程桌面”選項(xiàng)取消選中，再單擊“確定”按鈕關(guān)閉設(shè)置頁(yè)面，如此一來(lái)局域網(wǎng)中的任意一臺(tái)計(jì)算機(jī)再次嘗試與Windows Server 2008服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面連接時(shí)，都會(huì)被對(duì)應(yīng)系統(tǒng)中的內(nèi)置防火墻程序強(qiáng)行禁止掉了。

  對(duì)遠(yuǎn)程桌面連接適當(dāng)限制

　　大家知道，如果在某一段時(shí)間內(nèi)同時(shí)有若干個(gè)遠(yuǎn)程桌面連接訪問(wèn)Windows Server 2008服務(wù)器系統(tǒng)時(shí)，對(duì)應(yīng)服務(wù)器系統(tǒng)的運(yùn)行效率就會(huì)受到明顯影響，甚至能發(fā)生無(wú)法響應(yīng)的故障現(xiàn)象。為了確保Windows Server 2008服務(wù)器能夠穩(wěn)定運(yùn)行，我們可以按照下面的操作，來(lái)對(duì)遠(yuǎn)程桌面連接數(shù)量進(jìn)行適當(dāng)限制：

　　首先以超級(jí)用戶身份登錄進(jìn)Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開(kāi)始”/“程序”/“管理工具”/“終端服務(wù)”/“終端服務(wù)配置”命令，打開(kāi)對(duì)應(yīng)系統(tǒng)的終端服務(wù)配置控制臺(tái)窗口；

　　其次點(diǎn)選該控制臺(tái)窗口左側(cè)顯示區(qū)域中的“授權(quán)診斷”分支選項(xiàng)，在對(duì)應(yīng)該分支選項(xiàng)的右側(cè)顯示區(qū)域中，選中“RDP-Tcp”選項(xiàng)，并用鼠標(biāo)右鍵單擊該選項(xiàng)，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開(kāi)“RDP-Tcp”選項(xiàng)的屬性設(shè)置對(duì)話框；

　　接著單擊該屬性設(shè)置對(duì)話框中的“網(wǎng)絡(luò)適配器”標(biāo)簽，進(jìn)入如圖6所示的標(biāo)簽設(shè)置頁(yè)面，在該設(shè)置頁(yè)面的最大連接數(shù)設(shè)置項(xiàng)處，我們可以根據(jù)服務(wù)器系統(tǒng)自身的硬件配置性能進(jìn)行合適設(shè)置，通常將該數(shù)值限制在“10”以下，最后單擊“確定”按鈕就可以了。