从细节加强Server 2008服务器远程桌面安全
默认域中用户或组的名称,然后单击“检查名称”。如果找到了多个匹配项目,则需要选择要使用的名称,然后单击“确定”。当然也可以单击“查找范围”按钮,选择其他位置通过查找功能添加相应的用户。如果还希望添加其他用户或者组,注意在它们直接输入分号(;)作为间隔。再次,笔者的建议是:删除对于组的授权,而只授予特定的用户远程连接权限。这样就会增加攻击者猜解用户账户的难度,从而提升了远程桌面的安全。作为一个安全技巧,大家可以取消administrator账户的远程连接权限,而赋予其他对于攻击者来说比较陌生的账户的远程连接权限。(图3)
(2).通过组策略限制远程登录 在组策略中,Administrators和Remote Desktop Users组的成员默认具有“允许通过终端服务登录”的用户权限。如果修改过组策略,可能需要复查,以确保这个用户权限依然被分配给这些组。一般来说,可以针对具体的计算机复查设置,但也可以通过站点、域已经组织单元策略进行复查。打开相应的组策略对象,然后依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“用权限指派”,双击“通过终端服务允许登录”策略,查看要使用的用户和组是否在列。(图4) 如果希望限制用户对服务器进行远程登录,可以打开相应的组策略对象,展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“用权限指派” 节点,双击“通过终端服务拒绝登录”策略。在该策略的属性对话框中,选择“拒绝这些策略设置”,然后单击“添加用户或组”,在添加用户或组对话框中,单击“浏览”,并使用选择用户、计算机或组对话框输入希望拒绝通过终端服务进行本地登录的用户或组的名称,然后单击“确定”即可。另外,也可以在终端服务配置工具中修改组的默认权限。例如,可以将对终端访问对象具有完全控制权限的Administrators组删除。(图5) |< 首 页 < 上一页 123456 下一页 > 末 页 >| 3、在组策略中配置远程桌面管理 远程桌面管理是终端服务的一部分,当然也可使用组策略配置远程桌面。其实,微软也建议首先使用组策略作为终端服务和远程桌面管理功能的首选工具。在实战中,我们可以针对特定的计算机配置本地策略,或在域中的组织单元(OU)上设置。我们可以使用组策略对象编辑器进行修改,定位到“计算机配置”→“管理模板”→“Windows 组件”→“终端服务”节点以及“用户配置”→“管理模板”→“Windows 组件”→“终端服务”节点下进行设置。该节点下有6个配置项目,大家可以根据需要进行配置。一般来说,远程桌面管理都用于对企业内部的服务器进行管理,但终端服务服务器通常都会使用独立的OU被隔离在特定的组中。因此如果打算在企业内部使用终端服务服务器,则应该考虑为终端服务服务器创建独立的OU,这样就可以通过远程桌面单独管理终端服务服务器。(图6) |< 首 页 < 上一页 123456 下一页 > 末 页 >| 4、远程桌面连接客户端设置技巧 Windows Server 2008使用的远程桌面连接客户端(mstsc)是最新的第6版本,这个版本的连接客户端相比以前的版本有了较大的改进,增加了许多有趣而实用的功能。下面和大家共享几个使用mstsc进程远程桌面连接中的相关技巧。 (1).自定义显示分辨率 Windows Server 2008中的mstsc支持高达1680×1920或1920×1200或更高的分辨率。除了可以在mstsc的图形界面中设置分辨率外,当然最快捷的是直接通过命令设置。比如我们运行“mstsc /w:1920 /h:1200”即将客户端的分辨率设置为1920×1200,其中/h、/w是参数分别表示屏幕的高和宽。如果大家将某次桌面连接配置保存为RDP文件,我们可以打开该文件然后修改其中的desktopwidth和desktopheigh后面数值以改变屏幕大小。例如desktopwidth:i:1920或desktopheigh:i:1200。(图7) ( |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |