远程桌面虽然为管理员带来了便利,但同时也带来了安全隐患,通过远程桌面进行***是一种惯用的***手段。

可以通过两方面的措施来增强远程桌面的安全性。

一是管理好用户密码, 尤其是管理员账号的密码要遵循一定的安全策略。关于密码管理,在后面将专门讲述。

二是修改远程桌面的默认端口号TCP3389,很多***都是通过扫描3389端口来实现***,因而将3389修改为1024~65535之间的一个任意端口,将很好地避免被***扫描。

1. 修改默认端口号

可以通过修改注册表的方式来修改远程桌面的端口号,比如要将端口号改为TCP6000。

在注册表中展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Terminal Server\WinStations\RDP-Tcp],将右侧名为PortNumber的键值的值(默认是3389)修改成6000即可。

修改之后,需要执行“netstat -an”命令确认端口号是否修改成功,如图3-40所示,命令执行后显示TCP 6000端口正处于LISTENING监听状态,表示已经修改成功。

Windows Server入门系列23 增强远程桌面的安全性_第1张图片

如果执行命令后发现开放的仍然是TCP 3389端口,那么只需将远程桌面服务先暂时关闭,然后再重新启用即可。

2. 设置服务器端防火墙

修改了端口号之后,注意还要配置服务器端的防火墙,允许发往TCP6000端口的数据通过。对于Windows2003系统,可以在防火墙的“例外”中添加一条例外规则,

Windows Server入门系列23 增强远程桌面的安全性_第2张图片

对于Windows Server 2008 R2系统,则需要在防火墙的高级设置中添加一条入站规则。以下为操作步骤:

① 在“规则类型”中选择“端口”。

② 在“协议和端口”中指定TCP 6000端口。

③ 在“操作”中选择“允许连接”。

④ 在“配置文件”中将规则应用于所有的网络类型。

⑤ 在“名称”中为规则起一个名字,如“rdp”。

3. 客户端配置

在客户端要连接远程桌面时,注意必须要在IP地址的后面指明端口号6000,否则客户端仍然会使用默认的3389端口进行连接。

Windows Server入门系列23 增强远程桌面的安全性_第3张图片