Win2008系統憑借着超強的安全優勢吸引了不少用戶前來體驗，但并不代表着win2008系統一直是安全的，在遠程桌面的狀态下，win2008受到非法攻擊的可能性非常大，為了加強遠程桌面的安全性，用戶可以對系統進行相關的設置。

一、強迫執行網絡級身份驗證

盡管傳統操作系統也具有遠程桌面功能，不過Windows Server 2008系統對遠程桌面功能的安全性能進行了強化，它允許網絡管理員通過合适設置來強迫遠程桌面連接用戶執行網絡級身份驗證，以防止一些非法用戶也趁機使 用遠程桌面功能來入侵Windows Server 2008服務器系統。要實現強迫遠程桌面連接用戶執行網絡級身份驗證操作時，我們必須按照如下步驟來設置Windows Server 2008系統的遠程桌面連接參數：

首先以超級用戶的身份登錄進入Windows Server 2008服務器系統，打開對應系統的“開始”菜單，從中依次選擇“程序”、“管理工具”、“服務器管理器”選項，打開本地服務器系統的服務器管理器控制台窗口;

其次将鼠标定位于服務器管理器控制台窗口左側顯示區域中的“服務器管理”節點選項上，在對應“服務器管理”節點選項的右側顯示區域，單擊“服務器摘要”設置區域中的“配置遠程桌面”鍊接，打開服務器系統遠程桌面功能的設置對話框;

　二、隻許特定用戶使用遠程桌面

要是開通了Windows Server 2008服務器系統的遠程桌面功能，本地服務器中也就多開了一扇後門，有權限的用戶能進來，沒有權限的用戶同樣也能進來，如此一來本地服務器系統的運行安 全性自然就容易受到威脅。事實上，我們可以對Windows Server 2008服務器系統的遠程桌面功能進行合适設置，讓有遠程管理需求的特定用戶能從遠程桌面這扇後門中進來，其他任何用戶都不允許自由進出，那樣的話 Windows Server 2008服務器系統受到非法攻擊的可能性就會大大降低了;要想讓特定用戶使用遠程桌面功能，我們可以按照如下操作來設置Windows Server 2008服務器系統：

首先打開Windows Server 2008服務器系統的“開始”菜單，從中依次選擇“程序”、“管理工具”、“服務器管理器”選項，進入本地服務器系統的服務器管理器控制台窗口;

其次單擊服務器管理器控制台窗口右側區域中的“配置遠程桌面”鍊接選項，打開服務器系統遠程桌面功能的設置對話框，單擊該對話框中的“選擇用戶”按鈕，系統屏幕上将會出現如圖2所示的設置窗口;

将該設置窗口中已經存在的用戶賬号一一選中，并單擊“删除”按鈕;之後，再單擊“添加”按鈕，在其後出現的用戶賬号浏覽對話框中，找到有遠程管理需求的 特定用戶賬号，并将該賬号選中添加進來，再單擊“确定”按鈕退出設置操作，這樣的話任何一位普通用戶日後都不能使用遠程桌面功能來對Windows Server 2008服務器系統進行遠程管理了，而隻有在這裡設置的特定用戶才有權限通過遠程桌面連接訪問目标服務器系統。

　三、禁止administrator使用遠程桌面

在缺省狀态下，Windows Server 2008服務器系統允許administrator賬号使用遠程桌面功能，為了防止非法攻擊者嘗試使用該用戶賬号來攻擊本地服務器系統，我們可以按照下面 的操作來禁止administrator賬号通過遠程桌面連接來訪問Windows Server 2008服務器系統：

由于從服務器 系統中無法直接删除administrator賬号，為此我們可以采用最為極端的方法，那就是将administrator賬号強行禁用;禁用該用戶賬号 最簡單的方法就是先依次單擊服務器系統桌面中的“開始”/“程序”/“附件”選項，從下拉菜單中選中“命令提示符”命令，并用鼠标右鍵單擊該命令選項，再 執行右鍵菜單中的“以管理員身份運行”命令，打開Windows Server 2008系統的MS-DOS工作窗口，在該窗口的命令行中執行字符串命令“net user administrator /active:no”就可以了。

不過，上面的方法往往會影響網絡管理員正常管理服務器系統，為此我們還可以通過為administrator賬号更名的方式，來禁止administrator使用Windows Server 2008系統的遠程桌面連接：

首先以超級用戶的身份登錄進入Windows Server 2008服務器系統，依次單擊該系統桌面中的“開始”/“運行”命令，在彈出的系統運行對話框中，輸入字符串命令“gpedit.msc”，單擊“确定”按鈕，打開本地服務器系統的組策略編輯控制台窗口;

其次在該控制台窗口的左側列表區域中，将鼠标定位于“計算機配置”分支選項上，再從該分支下面依次展開“Windows設置”/“安全設置”/“本地策 略”/“安全選項”，在對應“安全選項”的右側顯示區域中，雙擊“帳戶：重命名系統管理員”目标組策略選項，打開如圖3所示的選項設置窗口，在該窗口中我 們就能将administrator的名稱修改成其他人不容易猜中的賬号名稱，最後單擊“确定”按鈕就能使設置生效了。

當然，我們也可以通過将administrator賬号的終端登錄權限取消的方法，來達到禁止administrator使用遠程桌面功能的目的;在取 消administrator賬号的終端登錄權限時，我們可以先按前面操作打開服務器系統的組策略編輯控制台窗口，将鼠标定位于組策略編輯控制台窗口左側 區域中的“計算機配置”分支選項上，再從該分支下面依次展開“Windows設置”/“安全設置”/“本地策略”/“用戶權限分配”子項，在對應“用戶權 限分配”子項的右側顯示區域中，雙擊目标組策略選項“通過終端服務允許登錄”，在其後彈出的窗口中将administrators賬号删除掉，如此一來， 當非法用戶嘗試使用administrator賬号遠程連接Windows Server 2008服務器系統時，就會出現拒絕登錄的報警提示。

　四、隻許特定計算機使用遠程桌面

有的時候，為了防止局域網中的計算機病毒随意通過遠程桌面連接傳染給Windows Server 2008服務器系統，我們需要限定任何用戶隻能從局域網中特定的安全計算機上使用遠程桌面功能，來遠程控制目标服務器系統。為了實現隻許特定計算機使用遠 程桌面與Windows Server 2008服務器系統建立連接的目的，我們可以按照如下步驟來設置本地服務器系統：

首先以系統管理員權限登錄進入Windows Server 2008服務器系統，依次單擊“開始”/“運行”命令，打開系統運行文本框，在其中輸入“gpedit.msc”字符串命令，單擊“确定”按鈕，打開組策略編輯控制台窗口;

其次在該控制台窗口的左側顯示區域中，将鼠标定位于“計算機配置”分支選項上，再從該分支下面依次展開“管理模闆”/“網絡”/“網絡連接” /“Windows防火牆”/“标準配置文件”子項，找到“标準配置文件”子項下面的“Windows防火牆：允許入站遠程管理例外”目标組策略項目，用 鼠标雙擊該項目，打開如圖4所示的屬性設置界面;

下面将該設置界面中的“已啟用”項目選中，并且在其後自動激活的“允許來自這些IP地址的未經請求的傳入消息”文本框中輸入安全的特定計算機IP地址， 再單擊“确定”按鈕完成設置操作，這樣的話任何用戶日後隻能從這裡指定的普通計算機上使用遠程桌面功能來遠程控制Windows Server 2008服務器系統了。

五、禁止所有計算機使用遠程桌面

在排查網絡故障的時候，我們有時 需要臨時禁止局域網中的所有計算機與Windows Server 2008服務器系統建立遠程桌面連接，實現這種控制目的的方法有很多，不過最為簡單的方法，就是利用服務器系統内置防火牆功能來快速禁止Windows Server 2008系統的遠程桌面訪問網絡，下面就是具體的限制步驟：

首先打開Windows Server 2008服務器系統桌面的“開始”菜單，從中依次單擊“設置”/“控制面闆”選項，在彈出的系統控制面闆窗口中，雙擊Windows防火牆選項，在其後彈 出的窗口中單擊左側區域中的“啟用或關閉Windows防火牆”鍊接，進入Windows Server 2008系統的防火牆基本配置窗口;

接着單擊基本配置窗口中的“例外”選項卡，打開如圖5所示的選項設置頁面，将該頁面中的“遠程桌面”選項取消選中，再單擊“确定”按鈕關閉設置頁面，如 此一來局域網中的任意一台計算機再次嘗試與Windows Server 2008服務器系統建立遠程桌面連接時，都會被對應系統中的内置防火牆程序強行禁止掉了。

　六、對遠程桌面連接适當限制

大家知道，如果在某一段時間内同時有若幹個遠程桌面連接訪問Windows Server 2008服務器系統時，對應服務器系統的運行效率就會受到明顯影響，甚至能發生無法響應的故障現象。為了确保Windows Server 2008服務器能夠穩定運行，我們可以按照下面的操作，來對遠程桌面連接數量進行适當限制：

首先以超級用戶身份登錄進Windows Server 2008服務器系統，依次單擊“開始”/“程序”/“管理工具”/“終端服務”/“終端服務配置”命令，打開對應系統的終端服務配置控制台窗口;

其次點選該控制台窗口左側顯示區域中的“授權診斷”分支選項，在對應該分支選項的右側顯示區域中，選中“RDP-Tcp”選項，并用鼠标右鍵單擊該選項，從彈出的快捷菜單中執行“屬性”命令，打開“RDP-Tcp”選項的屬性設置對話框;

接着單擊該屬性設置對話框中的“網絡适配器”标簽，進入如圖6所示的标簽設置頁面，在該設置頁面的最大連接數設置項處，我們可以根據服務器系統自身的硬件配置性能進行合适設置，通常将該數值限制在“10”以下，最後單擊“确定”按鈕就可以了。

當然，我們也可以通過修改系統注冊表的方法，來對遠程桌面連接數量進行适當限制;在進行這種限制操作時，我們可以依次單擊“開始”/“運行”命令，在系 統運行框中執行“regedit”命令，打開服務器系統的注冊表編輯界面;将鼠标定位于該注冊表編輯界面左側顯示區域中的 “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”分支選項上，在對應“Terminal Services”選項的右側顯示窗格中創建好雙字節值“MaxInstanceCount”，再将該鍵值的數值設置成十進制的“10”，最後刷新一下系 統注冊表就可以使設置生效了。

遠程桌面的使用方便了用戶了的管理和資源的共享，在win2008系統下，要想擁有一個安全的遠程桌面連接，用戶可以根據上述介紹的幾個方面來進行設置，讓遠程桌面連接掌握在手。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!