圖文分享:Win2008遠(yuǎn)程桌面安全設(shè)置(2)

　　三、禁止administrator使用遠(yuǎn)程桌面

　　在缺省狀態(tài)下，Windows Server 2008服務(wù)器系統(tǒng)允許administrator賬號使用遠(yuǎn)程桌面功能，為了防止非法攻擊者嘗試使用該用戶賬號來攻擊本地服務(wù)器系統(tǒng)，我們可以按照下面 的操作來禁止administrator賬號通過遠(yuǎn)程桌面連接來訪問Windows Server 2008服務(wù)器系統(tǒng)：

　　由于從服務(wù)器 系統(tǒng)中無法直接刪除administrator賬號，為此我們可以采用最為極端的方法，那就是將administrator賬號強(qiáng)行禁用;禁用該用戶賬號 最簡單的方法就是先依次單擊服務(wù)器系統(tǒng)桌面中的“開始”/“程序”/“附件”選項，從下拉菜單中選中“命令提示符”命令，并用鼠標(biāo)右鍵單擊該命令選項，再 執(zhí)行右鍵菜單中的“以管理員身份運(yùn)行”命令，打開Windows Server 2008系統(tǒng)的MS-DOS工作窗口，在該窗口的命令行中執(zhí)行字符串命令“net user administrator /active:no”就可以了。

　　不過，上面的方法往往會影響網(wǎng)絡(luò)管理員正常管理服務(wù)器系統(tǒng)，為此我們還可以通過為administrator賬號更名的方式，來禁止administrator使用Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接：

　　首先以超級用戶的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕，打開本地服務(wù)器系統(tǒng)的組策略編輯控制臺窗口;

　　其次在該控制臺窗口的左側(cè)列表區(qū)域中，將鼠標(biāo)定位于“計算機(jī)配置”分支選項上，再從該分支下面依次展開“Windows設(shè)置”/“安全設(shè)置”/“本地策 略”/“安全選項”，在對應(yīng)“安全選項”的右側(cè)顯示區(qū)域中，雙擊“帳戶：重命名系統(tǒng)管理員”目標(biāo)組策略選項，打開如圖3所示的選項設(shè)置窗口，在該窗口中我 們就能將administrator的名稱修改成其他人不容易猜中的賬號名稱，最后單擊“確定”按鈕就能使設(shè)置生效了。

　　當(dāng)然，我們也可以通過將administrator賬號的終端登錄權(quán)限取消的方法，來達(dá)到禁止administrator使用遠(yuǎn)程桌面功能的目的;在取 消administrator賬號的終端登錄權(quán)限時，我們可以先按前面操作打開服務(wù)器系統(tǒng)的組策略編輯控制臺窗口，將鼠標(biāo)定位于組策略編輯控制臺窗口左側(cè) 區(qū)域中的“計算機(jī)配置”分支選項上，再從該分支下面依次展開“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“用戶權(quán)限分配”子項，在對應(yīng)“用戶權(quán) 限分配”子項的右側(cè)顯示區(qū)域中，雙擊目標(biāo)組策略選項“通過終端服務(wù)允許登錄”，在其后彈出的窗口中將administrators賬號刪除掉，如此一來， 當(dāng)非法用戶嘗試使用administrator賬號遠(yuǎn)程連接Windows Server 2008服務(wù)器系統(tǒng)時，就會出現(xiàn)拒絕登錄的報警提示。

　　四、只許特定計算機(jī)使用遠(yuǎn)程桌面

　　有的時候，為了防止局域網(wǎng)中的計算機(jī)病毒隨意通過遠(yuǎn)程桌面連接傳染給Windows Server 2008服務(wù)器系統(tǒng)，我們需要限定任何用戶只能從局域網(wǎng)中特定的安全計算機(jī)上使用遠(yuǎn)程桌面功能，來遠(yuǎn)程控制目標(biāo)服務(wù)器系統(tǒng)。為了實現(xiàn)只許特定計算機(jī)使用遠(yuǎn) 程桌面與Windows Server 2008服務(wù)器系統(tǒng)建立連接的目的，我們可以按照如下步驟來設(shè)置本地服務(wù)器系統(tǒng)：

　　首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊“開始”/“運(yùn)行”命令，打開系統(tǒng)運(yùn)行文本框，在其中輸入“gpedit.msc”字符串命令，單擊“確定”按鈕，打開組策略編輯控制臺窗口;

　　其次在該控制臺窗口的左側(cè)顯示區(qū)域中，將鼠標(biāo)定位于“計算機(jī)配置”分支選項上，再從該分支下面依次展開“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接” /“Windows防火墻”/“標(biāo)準(zhǔn)配置文件”子項，找到“標(biāo)準(zhǔn)配置文件”子項下面的“Windows防火墻：允許入站遠(yuǎn)程管理例外”目標(biāo)組策略項目，用 鼠標(biāo)雙擊該項目，打開如圖4所示的屬性設(shè)置界面;

　　下面將該設(shè)置界面中的“已啟用”項目選中，并且在其后自動激活的“允許來自這些IP地址的未經(jīng)請求的傳入消息”文本框中輸入安全的特定計算機(jī)IP地址， 再單擊“確定”按鈕完成設(shè)置操作，這樣的話任何用戶日后只能從這里指定的普通計算機(jī)上使用遠(yuǎn)程桌面功能來遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)了。