拓展思路 讓Windows Server 2008遠程控制更自如
原創【51CTO.com 獨家特稿】Windows Server 2008系統的新功能、新特性讓很多人眼前一亮,為此局域網工作環境中安裝、使用Windows Server 2008系統的主機是越來越多,而該系統作為一個全新的服務器系統,我們常常需要對它進行遠程控制,不過該系統的新功能、新特性注定了我們必須拓展新的思路,才能讓Windows Server 2008系統遠程控制更自如;這不,本文現在就對Windows Server 2008系統的遠程控制功能進行深入挖掘,希望各位朋友能從下面的內容中收到啟發!
1、修改遠程控制端口只讓自己知道
無論是哪種類型的操作系統,在缺省狀態下遠程桌面連接功能一般會使用3389端口才能進行遠程控制操作,Windows Server 2008系統自然也不例外,所以惡意攻擊者時常會嘗試通過該默認的3389端口號碼進行非法連接。為了確保遠程控制操作的安全性,我們應該在啟用遠程桌面控制功能后,及時修改該功能的網絡通信端口號碼,同時保證新的控制端口號碼只能讓自己一個人知道。在修改Windows Server 2008系統的遠程桌面控制端口號碼時(現在以將控制端口號碼調整為“2009”為例),我們不妨進行下面的設置作:
首先打開Windows Server 2008系統桌面中的“開始”菜單,從中依次點選“程序”/“附件”/“命令提示符”命令,之后再用鼠標右鍵單擊“命令提示符”命令,從彈出的快捷菜單中執行“以管理員身份運行”命令,將系統切換到DOS命令行工作窗口,在該窗口的命令行提示符下執行“regedit”字符串命令,進入Windows Server 2008系統的注冊表控制臺窗口;
其次在該控制臺窗口左側子窗格中用鼠標點選其中的HKEY_LOCAL_MACHINE節點選項,再從該節點選項下面依次展開目標注冊表子項“SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”(如果無法找到時可以自行創建),在目標注冊表子項的右側顯示窗格中,檢查是否存在雙字節值PortNumber,要是不存在時,我們可以用鼠標右鍵單擊空白區域,從其后出現的右鍵菜單中依次點選“新建”、“Dword值(32-位)值”菜單命令,來自行創建一個名為“PortNumber”的雙字節值,之后用鼠標雙擊“PortNumber”鍵值,此時系統屏幕上會出現一個如圖1所示的設置窗口,選中其中的“十進制”項目,再在“數值數據”對話框中輸入自己想要的端口號碼,這里我們應該輸入的是“2009”,再單擊“確定”按鈕完成上述設置操作;
同樣地,我們再從HKEY_LOCAL_MACHINE節點選項下面依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”注冊表子項,在目標注冊表子項下面也創建一個名為“PortNumber”雙字節鍵值,并且將該鍵值的數值也調整為“2009”,最后單擊“確定”按鈕退出Windows Server 2008系統注冊表控制臺窗口,并重新啟動一下對應系統就可以使上述設置操作正式生效了。
要是調整好遠程桌面控制端口號碼后,日后我們想從局域網的普通工作站中與Windows Server 2008系統建立遠程控制連接時,應該在目標遠程主機后面直接添加上新的控制端口號碼,比方說Windows Server 2008系統主機使用的IP地址假設為10.192.168.156時,那么通過遠程桌面連接該系統主機時就應該將遠程控制主機的地址修改為“10.192.168.156:2009”,而那些不清楚新控制端口號碼的任何一位用戶就不能與Windows Server 2008系統建立遠程控制連接了。
圖1
2、修改驗證方式讓遠程連接更順暢
雖然舊的服務器系統也支持遠程桌面控制功能,可是Windows Server 2008系統卻在安全性能方面對遠程桌面控制功能進行了特別強化,它允許我們進行一些有針對性設置來限制局域網用戶隨意進行遠程控制登錄,以避免一些惡意攻擊者也偷偷使用遠程桌面控制連接來非法攻擊Windows Server 2008服務器系統。不過,Windows Server 2008系統新增加的遠程控制網絡級身份驗證功能,給我們的遠程控制操作帶來了很大的麻煩,該功能要求客戶端系統必須安裝使用Windows Vista系統或Windows Server 2008系統,才能對遠程主機進行遠程控制操作,其他任何操作系統都不能與Windows Server 2008服務器系統建立遠程控制連接,這樣一來就會影響我們對Windows Server 2008系統的遠程控制效率。為了讓遠程控制連接更順暢、更高效,我們可以修改Windows Server 2008系統默認使用的身份驗證方式,以便讓其允許任意版本的操作系統與之建立遠程控制連接,下面就是具體的設置步驟:
首先以系統管理員身份登錄Windows Server 2008服務器系統,依次單擊該系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”命令,進入Windows Server 2008服務器系統的服務器管理器界面;
其次在服務器管理器界面的左側子窗格中選中“服務器管理”分支選項,在“服務器管理”分支選項下面單擊“服務器摘要”位置處的“配置遠程桌面”選項,打開Windows Server 2008服務器系統的遠程桌面參數設置窗口;
在該參數設置窗口的“遠程桌面”處,我們發現這里有三個功能選項,要是我們想讓局域網中的任意一臺工作站系統,都可以非常順暢地使用遠程桌面功能來對Windows Server 2008服務器系統進行遠程控制操作時,那可以嘗試選中“允許運行任意版本遠程桌面的計算機連接”功能選項(如圖2所示),這樣一來我們日后就能很順暢地與Windows Server 2008服務器系統建立遠程控制操作了,不過如果隨意使用這種功能選項,容易對Windows Server 2008服務器系統帶來安全威脅。
圖2
#p#
3、遠程打開目標主機遠程控制功能
當我們準備借助遠程桌面連接方式來對Windows Server 2008服務器系統進行遠程控制、管理時,有時會遭遇不能與對應系統建立遠程控制連接的故障現象,在對各種可能的因素進行依次排查后,我們發現Windows Server 2008系統在被一些第三方工具自動優化之后,先前能夠正常啟用的遠程桌面控制功能竟然被意外地關閉運行了,這么一來,我們往往只有趕到Windows Server 2008系統現場才能重新將遠程桌面控制功能恢復正常。事實上,我們只要能從普通工作站端正常Ping通Windows Server 2008系統,就可以遠程打開對應系統的遠程桌面控制功能,下面就是遠程打開目標主機遠程控制功能的具體實施步驟:
首先從局域網網絡中任意選擇一臺可以正常Ping通Windows Server 2008服務器系統的普通工作站作為遠程控制終端,在該工作站系統桌面中依次點選“開始”、“運行”選項,在其后出現的系統運行對話框中,輸入字符串命令“mmc”,單擊“確定”按鈕后,打開本地工作站的系統控制臺窗口;
其次在該控制臺窗口中依次單擊菜單欄中的“文件”/“添加/刪除管理單元”命令,進入添加/刪除管理單元設置窗口,從該設置窗口的可用管理單元列表中將“服務”項目選中,并且單擊中間顯示窗格中的“添加”按鈕,打開如圖3所示的設置對話框;
下面再從該設置對話框中將“另一臺計算機”項目選中,并且在對應該選項后面的對話框中正確輸入Windows Server 2008服務器系統所在主機的計算機名稱或IP地址,再單擊“完成”按鈕退出添加設置對話框,最后單擊“確定”按鈕保存好上述設置操作,這個時候我們就能在本地工作站系統中看到Windows Server 2008服務器系統中的服務列表了,選擇服務列表中的目標系統服務“Terminal services”,同時用鼠標雙擊“Terminal services”服務選項,打開目標系統服務的屬性設置對話框,先單擊該設置對話框中的“啟動”按鈕,來將Windows Server 2008服務器系統的“Terminal services”服務恢復正常的啟動狀態,之后還需要將目標系統服務的啟動類型參數修改為“自動”啟動類型,如此一來Windows Server 2008服務器系統中的遠程桌面控制功能又會被重新啟用起來,此時我們就可以重新與該服務器系統建立遠程桌面控制連接了。
圖3
4、讓遠程控制處于防火墻保護之中
大家知道,Windows Server 2008系統自帶的防火墻功能非常強大,這不,巧妙設置該防火墻我們可以讓遠程控制操作處于防火墻的安全保護之中。比方說,要是我們只想讓IP地址為10.192.168.156的普通工作站,可以使用遠程桌面連接來對局域網域中的Windows Server 2008系統建立遠程控制連接時,就可以通過設置Windows Server 2008中的防火墻相關組策略參數來實現這樣的控制目的,下面就是具體的實施步驟:
首先打開Windows Server 2008系統的“開始”菜單,從中單擊“運行”命令,打開對應系統的運行對話框,在其中輸入“gpedit.msc”字符串命令,單擊回車鍵后,進入對應系統的組策略控制臺窗口;
其次將鼠標定位于該組策略控制臺窗口左側顯示區域中的“本地計算機策略”分支選項,再從該分支下面依次展開/“計算機配置”/“管理模板”/“網絡”/“網絡連接”/“Windows防火墻”/“域配置文件”目標組策略子項,在目標組策略子項下面找到“Windows防火墻:允許入站遠程管理例外”組策略選項,再用鼠標雙擊該選項,打開如圖4所示的屬性設置對話框;
下面檢查該設置對話框中的“已啟用”選項是否處于選中狀態,如果沒有選中時我們應該將它及時重新選中,再在“允許來自這些IP地址的未經請求的傳入消息”對話框中正確輸入“10.192.168.156”,最后單擊“確定”按鈕完成上述設置任務,這樣的話日后局域網中IP地址為的10.192.168.156的普通工作站,才有權利使用遠程桌面連接方式訪問域中的Windows Server 2008系統,其他任何用戶都不能對Windows Server 2008系統進行遠程控制操作。
當然,如果我們希望暫時阻止局域網中的所有工作站使用遠程桌面連接方式訪問Windows Server 2008系統時,也可以打開對應系統的基本防火墻配置窗口,來禁止Windows Server 2008系統的遠程桌面自動接受網絡訪問請求;在進行這種操作時,我們可以在Windows Server 2008系統的“開始”菜單中,依次點選“設置”/“控制面板”選項,之后在控制面板窗口中雙擊Windows防火墻圖標,再在其后出現的窗口中單擊“啟用或關閉Windows防火墻”選項,進入Windows Server 2008系統的基本防火墻配置窗口;
之后單擊“例外”選項卡,看看對應選項設置頁面中的“遠程桌面”功能選項是否處于選中狀態,如果看到該選項已經被選中時,那就說明Windows Server 2008系統自帶的防火墻沒有對遠程桌面連接操作進行限制,這個時候我們可以在這里將“遠程桌面”功能選項取消選中,再單擊“確定”按鈕保存好上述設置操作,如此一來局域網中的任何普通工作站在遠程控制Windows Server 2008系統時,都會受到防火墻的阻止了。
圖4
5、將遠程控制權授予合法控制用戶
要是將Windows Server 2008系統的遠程桌面連接功能啟用成功后,該系統就像似開通了一扇后門一樣,合法的控制用戶能進來,不合法的控制用戶同樣也能貿然進來,這樣的話Windows Server 2008系統的安全性能就會受到不小的威脅。為了保證Windows Server 2008系統能夠始終安全地運行,我們可以將遠程控制權授予合法控制用戶,下面就是具體的設置步驟:
首先以系統管理員身份登錄Windows Server 2008服務器系統,依次單擊該系統桌面中的“開始”/“程序”/“管理工具”/“服務器管理器”命令,進入Windows Server 2008服務器系統的服務器管理器界面;
其次在服務器管理器界面的左側子窗格中選中“服務器管理”分支選項,在“服務器管理”分支選項下面單擊“服務器摘要”位置處的“配置遠程桌面”選項,打開Windows Server 2008服務器系統的遠程桌面參數設置窗口;
下面在遠程桌面參數設置窗口中單擊“遠程桌面”位置處的“選擇用戶”按鈕,當屏幕上出現如圖5所示的設置窗口時,我們可以在該設置窗口中將那些陌生的遠程控制用戶賬號一一選中并刪除掉,之后再單擊“添加”按鈕,打開用戶賬號設置窗口,從中將我們信任的合法用戶賬號名稱選中并添加進來,再單擊“確定”按鈕完成授權設置操作,這樣的話那些沒有經過授權的非法用戶日后就不能使用遠程桌面功能來對Windows Server 2008系統進行遠程控制操作了。
不過,有一點在這里需要提醒大家注意的是,我們盡量不要將遠程控制權限授予組用戶賬號,而應該根據實際情況對具體的某個可信任用戶進行遠程控制授權。而且,我們也不能對Administrators這個特權賬號進行直接授權,這也是非常不安全的,畢竟要是惡意攻擊者通過遠程方式獲得了Windows Server 2008系統的一個shell,那么惡意攻擊者只要自行創建一個隸屬管理員組級別的任意賬號,并通過該賬號就可以很輕松地使用遠程桌面功能來遠程控制Windows Server 2008了。
【51CTO.COM 獨家特稿,轉載請注明出處及作者!】
【編輯推薦】
