如何限制登录终端服务的地址
当我们把终端服务开启后,可以方便管理远程远程服务器,但是,若是黑客也入侵到我们的终端服务器了呢,那后果就不堪设想了。为了维护服务器的安全,我们可以通过设置IP安全策略限制连接终端服务的IP及网段。
假设我们的终端服务器IP为192.168.0.107, 为了服务器的安全,我们只允许192.168.0.120这个IP地址连接终端。那我们该怎么做呢?
1) 首先要在IP安全策略里新建一条策略拒绝任何IP任何端口连接到本机的3389端口
2 )再建一条规则,只允许192.168.0.120这一个IP连接到服务器的3389端口,这样后建的允许规则就会在拒绝规则的上方,实现一个IP筛选的功能。
操作步骤:
首先,打开组策略编辑器,在【开始】【运行】里输入”gpedit.msc”命令,运行组策略,如图1-1所示:
图1-1 运行组策略命令
然后,选择计算机配置-->>Windows设置-->>IP安全策略,右键创建IP策略,单击下一步,如图1-2所示:
图1-2 创建IP安全策略
点击图1-2中下一步-->>下一步,当弹出警告时,选择”是”>>下一步>>最后点击完成,此时查看我们所新建的策略如图1-3所示:
图1-3 查看新建的“自定义的规则”
通过双击”自定义的规则”弹出”会弹出它的属性面板,如图1-4所示:
图1-4 查看“自定义的规则”的属性
点击添加-->>下一步-->>下一步-->>下一步,出现安全规则向导,如图1-5所示:
图1-5 安全规则向导
点击添加弹出IP筛选器列表,如图1-6所示:
图1-6 IP筛选列表
点击添加-->>下一步-->>下一步,在IP源地址这选择任何IP地址,如图1-7所示:
图1-7 源地址选择“任何IP地址”
点击下一步,在目标地址这选择“我的IP地址”,如图1-8所示:
图1-8 目标地址选择“我的IP地址”
点击下一步后,在IP协议类型这里选择“TCP协议”, -->>下一步把目录端口改成3389,如图1-9所示:
图1-9 修改目的端口为3389
单击下一步-->>完成-->>确定,选择刚才创建的IP筛选列表,单击下一步,如图1-10所示:
图1-10 查看建好的IP筛选列表
单击下一步,弹出IP筛选操作,如图1-11所示:
图1-11 添加筛选操作
单击下一步,给筛选器设置操作名称,如图1-12所示
图1-12 命令操作规则
单击下一步,在筛选器操作常规选项面板选择阻止,然后点击下一步,如图1-13所示:
图1-13 选择操作行为为阻止
单击下一步-->>点击完成,在筛选器操作面板选择阻止,单点下一步,如图1-14所示:
图1-14 选择阻止
单击下一步,点击完成,指派刚才所建的策略,使其生效,如图1-15所示:
图1-15 指派策略,使其生效
通上面策略创建与指派后,任何IP的任何端口都无法连接到服务器的3389端口,因些我们还需要建一条策略,允许我们指定的IP访问服务器的3389端口。创建允许指定的IP:192.168.0.120访问服务器3389,双击自定义规则,在自定义规则属性面板里添加策略,如图1-16所示:
图1-16 新建策略
点击添加后, -->>下一步,直到如图1-17所示,添加IP筛选列表:
图1-17 IP筛选列表
填写IP筛选列表相关信息,如图1-18所示:
图1-18 添加IP筛选列表
在添加IP筛选列表时下一步,下一步即可,直到指定源地址时,选择一个特定的IP地址,如图1-19所示:
图1-19 指定源地址为一个特定的IP地址
指定源地址后,点击下一步,选择目标地址为“我的IP地址”,协议为TCP,目标端口为3389,可以效仿图1-8至图1-10,直到如图1-20所示:
图1-20 检查创建好的允许指定IP访问本机3389筛选IP列表
回到安全规则向导面板,选择刚才创建的允许指定IP访问服务器3389端口的IP筛选列表,单击下一步,如图1-21所示:
图1-21 选择IP筛选列表
点击下一步后,在筛选器操作面板中选择系统默认的许可即可,然后单击下一步,如图1-22所示:
图1-22 选择筛选器操作为许可
通过以上设置后,点击下一步,直至完成,最后查看新建好的策略如图1-23所示:
图1-23 查看自定义规则
【总结】
在设定策略的时候,要确保允许的策略在阻止策略上方,因为策略的执行顺序是从上至下,这两条规则同时使用才能实现限制IP访问服务器终端.点击确定后,重启下规则,先关闭指派,再重新指派下即可,至此,限制访问服务器终端全部完成。举一反三,我们可以通过上面的方法,我们可以限制只允许某一个网段访问服务器终端,只需在图1-19源地址选择”一个选定的了网”即可。