Windows Server 2008远程桌面策略.docx

《Windows Server 2008远程桌面策略.docx》由会员分享，可在线阅读，更多相关《Windows Server 2008远程桌面策略.docx（14页珍藏版）》请在三一办公上搜索。

1、WindowsServer2008远程桌面策略远程桌面是管理员对Windows系统实施远程管理和维护的首先工具，当然也是 攻击者窥视和企图接管的对象。因此，一个有经验的系统管理员在客户端或者服 务器上开启远程桌面后定会进行一定的安全部署。对于Windows Server 2008来 说，远程桌面是终端服务的一个功能，Windows Server 2008的安全特性和相关 细节，为用户进行远程桌面管理以及提升其安全性提供了更多选项。本文将和大 家一道挖掘Windows Server 2008远程桌面管理中的相关技术细节。1、启用远程桌面时应注意的细节在Windows Server 2008中开启

2、远程桌面的操作是非常简单的，但不同于此 前的系统它提供了更多的安全选项，这些选项是我们应用注意的。另外，因为 Windows Server 2008的安全特性，大家在开启远程桌面前或者开启之后还应用 注意有关事项。（1）.慎重选择限制远程连接系统的版本依次点击“控制面板一 系统和维护一 系统进入系统管理页面， 单击左窗格中的 远程设置链接打开 系统属性对话框，点击 远程 选项卡来到启用远程桌面窗口。对于启用远程桌面大家可谓轻车熟路，但该页面 中启用Windows Server 2008远程桌面的两个选项希望引起大家的注意。首先是 允许运行任意版本远程桌面的计算机连接（较不安全广选项，如果选择该

3、项 那么任意版本的Windows都可以通过远程桌面连接到该主机，毫无疑问，这是 不安全的。在此，管理员应该做考量是否限制远程连接的系统版本以提升远程桌 面的安全，一般情况下管理员应该以自己平时使用的系统版本为依据进行选择。 另外一个选项是 只允许运行带网络身份验证的远程桌面的计算机连接（更 安全广，如果选择该项，那么将只允许安装了 Windows Vista、Windows Server 2008、Windows 7的计算机进行远程连接。如果条件允许，笔者当然建 议大家选择该项，毕竟安全第一嘛。（图1）VIP.anqn.cbm安全中vip会员培训酮正 I 一 耿用应邛J(2).账户和防火墙相关

4、的注意事项在Windows Server 2008上开启远程桌面时还需注意，所有远程连接必须使 用带有密码的账户创建，如果系统中的某个本地账户没有密码，那么就无法使用 该账户进行远程连接。这是一些个人用户经常遇到的问题，明明开启了远程桌面 但就是无法通过账户登录。另外，考虑到Windows Server 2008的防火墙非常强大一般用户会选择时系 统防火墙，此时如果开启远程桌面的话，系统防火墙会自动创建一个例外，允许 远程桌面协议(RDP)连接穿透防火墙。默认情况下，该协议使用TCP 3389端 口，同时在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSe

5、tControlTerminal ServerWinStationsRDP-TcpPortNumber 键值中记录了该端口号。出于安全考 虑，希望大家将该端口号更改为一个陌生的端口，更改的方法就是修改该注册表 键值的值。如果计算机系统使用了其他第三方防火墙，则不行要在该防火墙中打 开该端口，以允许建立传入的远程桌面协议(RDP)连接。在此提醒的是，允许 连接的端口是你更改后的端口而不是此前的TCP 3389端口。(图2)文忤(F)痛i四W W收藏夹mooEl StUlIm ikg3 tor ageSys I enl Imai i on ,jSyflleaKiSiiUPe aElT tris i

6、 nal 幺如w出回Iddlns|1-C oim.e ct i onKanils rD tf 里迫 tVs *r Cefi 爸 国Keybosr JTyp e： H appra- rjcuS e-ss.1 hJijrbi Ir tti 事回廿田四日T ftrmLnalTyp 粗 Utiliti es VIDEO TdselCm立# RDFT 5T iiriZoDJcIaform nti.御OxOOMOD3G安全中VIP会员培训m顺M服 ooaMoooo1 P dNaneciv i yLnyr wo WurAutt*. .OYinMi残朋 Qx 口。OCOODL 0x00000061 ijtoa

7、oooDoo觥w即EFdDUJSM PdFlag烦睥腥叮前ECKEGJWORDKKJJWORDOC DWORD外脚LLM TwkBirfeit .M # jkULL宇 or Ofu/Ti terJOI X!计宜机MKEY_L0CM,MhCKinSrsrEnCwr snlConlrolSat CvntrolT(nniud. Ser咨inStstionM2、对远程登录用户可采用的授权方法默认情况下，Administrators组中的所有成员都可以远程登录，同时Windows Server 2008 Active Directory 中的 Remote Desktop Users 组的成员也可以进行

8、远程 管理。处于安全考虑，我们必须更改默认授权而实施对特定的用户或者组授权。(1).在远程桌面控制台中授权在Windows Server 2008的“系统属性”对话框中，单击“远程”选项 卡进入远程桌面设置窗口。在开启远程桌面后，单击其中的“选择用户按钮， 随后打开“远程桌面用户对话框，同时所有Remote Desktop Users组的成员 都会被列在这里。要添加新的用户或者组到该列表，单击“添加按钮打开 “选择用户或组对话框。在该对话框中输入所选或默认域中用户或组的名称， 然后单击“检查名称。如果找到了多个匹配项目，则需要选择要使用的名称， 然后单击“确定。当然也可以单击“查找范围按钮，选

9、择其他位置通过 查找功能添加相应的用户。如果还希望添加其他用户或者组，注意在它们直接输 入分号(;)作为间隔。再次，笔者的建议是：删除对于组的授权，而只授予特定 的用户远程连接权限。这样就会增加攻击者猜解用户账户的难度，从而提升了远 程桌面的安全。作为一个安全技巧，大家可以取消administrator账户的远程连 接权限，而赋予其他对于攻击者来说比较陌生的账户的远程连接权限。(图3).通过组策略限制远程登录在组策略中，Administrators和Remote Desktop Users组的成员默认具有 “允许通过终端服务登录的用户权限。如果修改过组策略，可能需要复查， 以确保这个用户权限依

10、然被分配给这些组。一般来说，可以针对具体的计算机复 查设置，但也可以通过站点、域已经组织单元策略进行复查。打开相应的组策略 对象，然后依次展开“计算机配置一“Windows设置一“安全设置一“本 地策略一“用权限指派，双击“通过终端服务允许登录策略，查看要使 用的用户和组是否在列。（图4）如果希望限制用户对服务器进行远程登录，可以打开相应的组策略对象，展 开“计算机配置”一 “Windows设置”一“安全设置”一“本地策略”一“用权限指派”节点，双击“通过终端服务拒绝登录”策略。在该策略的属性对话框 中，选择“拒绝这些策略设置”，然后单击“添加用户或组”，在添加用户或组 对话框中，单击“浏览”

11、，并使用选择用户、计算机或组对话框输入希望拒绝通 过终端服务进行本地登录的用户或组的名称，然后单击“确定”即可。另外，也 可以在终端服务配置工具中修改组的默认权限。例如，可以将对终端访问对象具 有完全控制权限的Administrators组删除。（图5）3、在组策略中配置远程桌面管理远程桌面管理是终端服务的一部分，当然也可使用组策略配置远程桌面。其 实，微软也建议首先使用组策略作为终端服务和远程桌面管理功能的首选工具。 在实战中，我们可以针对特定的计算机配置本地策略，或在域中的组织单元(OU) 上设置。我们可以使用组策略对象编辑器进行修改，定位到计算机配置” 一 管理模板”一 “Windows

12、组件”一“终端服务”节点以及“用户配置”一“管理模板”一 “Windows组件”一“终端服务”节点下进行设置。该节点下有6个 配置项目，大家可以根据需要进行配置。一般来说，远程桌面管理都用于对企业 内部的服务器进行管理，但终端服务服务器通常都会使用独立的OU被隔离在特 定的组中。因此如果打算在企业内部使用终端服务服务器，则应该考虑为终端服 务服务器创建独立的OU，这样就可以通过远程桌面单独管理终端服务服务器。(图6):龙访哧自变款艺行帝的心克弓却隹户的ItiA 三尤舞束旧亲却发行者的.网P文的 二不咒洋幌再委四一：，宙走寄示至岱住了训登廿宙成目”】正江惜腕斤户湛计辈机上埒W香遇北业茹昌线J林牌

13、.应用春厚蛎涅Gj景醐1雌_i髓孕杈险帝J皆遗长史面画口住理蓉薄娇襁器I二1遂弟临上F岂邙皓被祸12x善赢琶宣画座推存卢劲同靖访可谡1P 驻惧勃11 皿II:为莒户i扣遂脸JS身您煽4、远程桌面连接客户端设置技巧Windows Server 2008使用的远程桌面连接客户端(mstsc)是最新的第6版本， 这个版本的连接客户端相比以前的版本有了较大的改进，增加了许多有趣而实用 的功能。下面和大家共享几个使用mstsc进程远程桌面连接中的相关技巧。(1) .自定义显示分辨率Windows Server 2008 中的 mstsc 支持高达 1680x1920 或 1920x1200 或更高的分辨

14、率。除了可以在mstsc的图形界面中设置分辨率外，当然最快捷 的是直接通过命令设置。比如我们运行“mstsc /w:1920 /h:1200即将客户端的分 辨率设置为1920x1200，其中/h、/w是参数分别表示屏幕的高和宽。如果 大家将某次桌面连接配置保存为RDP文件，我们可以打开该文件然后修改其中 的desktopwidth和desktopheigh后面数值以改变屏幕大小。例如 desktopwidth:i:1920 或 desktopheigh:i:1200。(图 7)bntntapcachepersn stenalscreen mode i d : i : 2session wi n

15、posstris: coniDres5_ion:keyvip会员培训 jJllsession bpp:iI 32 ,3,0,0,00,600oar d ho ok : n : 2di spl ayconnecrl onbiir :1 :1 disable via! I pafDer : 1 :1 disable full wi ndow dr-ag ;1 ;1 alIow desktop composntion:-! :0 a1ow font smoorhl ng:1:0 disable menu atrims :n : 1 disable thennes : 1 :0 disable cur

16、sor seTTlnqKefaul t. r dip 记事本吏件(I) .M)格式查看叫葩助如(2) .在远程桌面中使用多显示器Windows Server 2008中的mstsc支持多显示器，这样就能够显示远程会话的 所有内容。需要说明的是：要使用多显示器，那么这些显示器必须水平对齐，并 使用同样的分辨率。要使用远程桌面的多显示器跨越功能，需要在mstsc中添加 /span参数，例如“mstsc /span”。当然，我们也可以通过修改RDP文件中的特定 数值实现显示器跨越，比如“Span:i:1(3) .调整传输数据的优先级一Windows Server 2008中的mstsc在显示远程系统

17、的数据方面是有一定的优先 级的。我们希望的优先级是：显示器、键盘和鼠标的相关数据比其他类型的数据， 比如打印机或文件传输更优先处理。默认情况下，显示器和输入数据将占可以带 宽的70%，而其他通信只占可以带宽的30%。在某些特殊情况下，我们需要调 整这个默认的优先级以符合我们的特殊需求。要修改这个优先级就需要在 Windows Server 2008的注册表中进行修改，其注册表项是HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServersTermDD。需要 条的子键是(如果没有这些键值可以自己创建，这些键值都是32位的DWORD 值)：FlowControl

18、Disable将其值设置为“1”就会禁止显示数据的优先级，反之，所 有不同的数据就请求都会被同等对待，其他是注册表值就会被忽略。FlowControlDisplayBandWidth该键值设置相对带宽优先级的比例，其默认值 是70，最大允许的数值是255。FlowControlChannelBandWidth该键值设置其他数据比如打印机、文件传输 等占用的可以带宽比例，其默认值是30，最大可以设置为255。FlowControlChargePostCompression该键值决定是否要根据演示前和压缩 后的数据大小决定带宽的分配，默认值是“0”，意味着比例的计算是根据压缩 前数据的大小进行的。

19、大多数情况下，我们希望以这种方式进行，因为这样确保 了客户端不要在发送数据前等待数据压缩完毕，节省了时间。(图8)4-注簇有避xj文件偏指位）查看伸）酸裁关偈 m oi）TapiSrvT srmDBBEG u?m00000004&VIP会员培训WIPE TUTCPOstOMOOOti-OjsOMOOOTGT erm3 trvi teThme 备T瞬皿KD眦TrktfksTrust fdTnst:姬圈认】功 Diaplayllsni?.k. E rrfl rC tuntr qlL此 IffiageFath翘 FurtDriTrETiablejSioStar tftQ.TypeEFj-.SE W_

20、S2. 皿一BIW JlKr.EEfA. REGJJ即皿 即句口即血 EEGJJEClJffl EEG DOITi僦值未设置) Terminal Devi ce I OtfflOOGOl Q) systerhSMiraES 0 即 M00001 1) 口油 CiOOOOOl (1) OOMQOGOl 0) OaiODODOOl (I)I W.DH0KDSB3- duord iP.antgn 安全中-：F1 &w Cd&tr&H) isibleFl ow CoBtrdlU iipl ayBaiid Flff#CsBtrlChiLjiun,q-lB*jid. Fl Con.tririlhar ge

21、f os tC.（4）.选择连接客户端启动的方式Windows Server 2008中启动远程桌面连接客户端可采用两种方式，即管理 模式和虚拟会话模式。相比虚拟会话模式，管理模式能够极大地改善管理员成功 执行程序、应用程序和进程的成功率。因此，作为管理员建议采用管理模式启动 远程连接客户端。下面笔者分别说说这两种连接方式如何启动。运行于虚拟会话模式虚拟会话模式可被管理员和其他用户用于在远程系统上启动虚拟会话。要运 行虚拟会话模式可执行下面的操作：在命令行或者运行对话框中运行命令 “mstsc”，或者单击开始所有程序附件，然后选择远程桌面连接选项 即可启动虚拟模式的远程桌面连接客户端。运行于管

22、理模式管理模式可被管理员用于与远程系统的控制台进行完全的交互。要运行管理 模式的客户端，必须根据客户端的类型进行下列操作：在命令行或者运行对话框 中执行 mstsc /admin” 或者 mstsc /console”。（图 9）取消VIP会员培训计算机3： 啤168. 1.10用户名： Ct OCLO当您连掷寸将向您询问凭据远程桌恒 连接5、远程登录用户的监视Windows Server 2008是允许有多个用户同时通过远程桌面连接的，因此管 理员一定要做好远程登录用户的监控，以甄别是否有可疑或者非法的远程连接。 除了可以使用终端服务管理器查看登录会话外，我们还可以通过两种方法来监控 远程登

23、录的用户。首先的使用quser命令，通过telnet连接到该服务器或在本地命令行先执 行命令quser命令即可看到谁已经登录当前系统。或者我们也可以运行命令 “quser /server:ServerName”来查看登录到远程服务器上的用户，其中 ServerName的服务器的名称。如图所示，该服务器上有两个活动的会话，其中 ctocio登录到了一个活动的RDP会话，会话ID是2，意味着是会话2。 administrator登录到了本地控制台，会话ID是2，即会话1。（图10）在此，笔者和大家共享一个技巧。有时候当有多个用户通过远程桌面登录到 服务器，但并没有有效注销，此时当有其他的用户要通过

24、远程桌面登录到服务器 时会因为用户连接超过授权数而无法登录。此时，我们就可远程telnet到服务器或者在服务器的命令提示符中执行命令“logoff ID”来注销某个用户，其中ID就是会话序号，比如执行“logoff 2”就将强迫ctocio用户从系统注销。这样， 其他的用户就可以通过远程桌面登录系统了。（图11）除了命令外，我们还可以通过“任务管理器”查看用户会话。单击任务栏选 择“任务管理”即可打开任务管理器窗口，点击“用户”选项卡可以看到当前登 录服务器的用户。在此，我们可以对特定用户执行“断开”、“注销”操作，当 然也可以“发送消息”。（图12）笔者这里要强调一下，注销用户和断开用户是是

25、完全不同的。如果断开一个 会话，这会话将处于断开状态，但依然会在进程中执行。如果注销用户，则会结 束该用户的会话，同时关闭该用户运行的所有应用程序，同时还会结束该用户运 行的所有前台进程。笔者建议，管理员在远程维护完成后最好以注销”的方式 断开和服务器的连接。这样不仅会释放服务器资源，而且方便下一次的登录。往 往有不少用户在远程登录完成后会直接关闭远程桌面客户端窗口，这样的操作就 类似“断开”操作，它还占用着服务器会话通道，当达到服务器的用户授权上限 时其他用户就不能够远程登录到服务器。6、解惑远程登录验证证书无效或者过期有时候当我们通过远程桌面客户端连接服务器时，会收到从远程计算机获得的验证

26、证书无效或过期”的错误提示，这时什么原因呢?其实，在默认情况下 在建立RDP连接之前，计算机还需要验证远程计算机的身份。如果远程计算机 的验证证书无效或者过期，将无法连接，同时还会受到类似的警告信息。对此， 我们首先应该检查一下两台计算机的日期和时间设置是否正确。因为如果两台计 算机之间的时间和日期有偏差，则可能会导致验证证书无效。当然，如果不希望 计算机验证远程计算机的身份，我们可以禁用该功能。其具体设置方法是：在远 程桌面连接器窗口中单击“选项”打开额外配置选项卡，进入高级选项卡，然后设置服务器验证选项为“连接并且不向我发送警告”即可。（图13）总结：本文和大家共享了 Windows Server 2008远程桌面管理中容易被忽略 某些技术细节，同时也和朋友们分享了笔者的一些经验。最后希望这些细节和经 验能够对大家有所帮助。