【51CTO.com 獨家特稿】Windows Server 2008系統(tǒng)的新功能、新特性讓很多人眼前一亮，為此局域網(wǎng)工作環(huán)境中安裝、使用Windows Server 2008系統(tǒng)的主機是越來越多，而該系統(tǒng)作為一個全新的服務(wù)器系統(tǒng)，我們常常需要對它進(jìn)行遠(yuǎn)程控制，不過該系統(tǒng)的新功能、新特性注定了我們必須拓展新的思路，才能讓W(xué)indows Server 2008系統(tǒng)遠(yuǎn)程控制更自如；這不，本文現(xiàn)在就對Windows Server 2008系統(tǒng)的遠(yuǎn)程控制功能進(jìn)行深入挖掘，希望各位朋友能從下面的內(nèi)容中收到啟發(fā)！

1、修改遠(yuǎn)程控制端口只讓自己知道
無論是哪種類型的操作系統(tǒng)，在缺省狀態(tài)下遠(yuǎn)程桌面連接功能一般會使用3389端口才能進(jìn)行遠(yuǎn)程控制操作，Windows Server 2008系統(tǒng)自然也不例外，所以惡意攻擊者時常會嘗試通過該默認(rèn)的3389端口號碼進(jìn)行非法連接。為了確保遠(yuǎn)程控制操作的安全性，我們應(yīng)該在啟用遠(yuǎn)程桌面控制功能后，及時修改該功能的網(wǎng)絡(luò)通信端口號碼，同時保證新的控制端口號碼只能讓自己一個人知道。在修改Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面控制端口號碼時（現(xiàn)在以將控制端口號碼調(diào)整為“2009”為例），我們不妨進(jìn)行下面的設(shè)置作：

首先打開Windows Server 2008系統(tǒng)桌面中的“開始”菜單，從中依次點選“程序”/“附件”/“命令提示符”命令，之后再用鼠標(biāo)右鍵單擊“命令提示符”命令，從彈出的快捷菜單中執(zhí)行“以管理員身份運行”命令，將系統(tǒng)切換到DOS命令行工作窗口，在該窗口的命令行提示符下執(zhí)行“regedit”字符串命令，進(jìn)入Windows Server 2008系統(tǒng)的注冊表控制臺窗口；
其次在該控制臺窗口左側(cè)子窗格中用鼠標(biāo)點選其中的HKEY_LOCAL_MACHINE節(jié)點選項，再從該節(jié)點選項下面依次展開目標(biāo)注冊表子項“SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”（如果無法找到時可以自行創(chuàng)建），在目標(biāo)注冊表子項的右側(cè)顯示窗格中，檢查是否存在雙字節(jié)值PortNumber，要是不存在時，我們可以用鼠標(biāo)右鍵單擊空白區(qū)域，從其后出現(xiàn)的右鍵菜單中依次點選“新建”、“Dword值（32-位）值”菜單命令，來自行創(chuàng)建一個名為“PortNumber”的雙字節(jié)值，之后用鼠標(biāo)雙擊“PortNumber”鍵值，此時系統(tǒng)屏幕上會出現(xiàn)一個如圖1所示的設(shè)置窗口，選中其中的“十進(jìn)制”項目，再在“數(shù)值數(shù)據(jù)”對話框中輸入自己想要的端口號碼，這里我們應(yīng)該輸入的是“2009”，再單擊“確定”按鈕完成上述設(shè)置操作；
同樣地，我們再從HKEY_LOCAL_MACHINE節(jié)點選項下面依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”注冊表子項，在目標(biāo)注冊表子項下面也創(chuàng)建一個名為“PortNumber”雙字節(jié)鍵值，并且將該鍵值的數(shù)值也調(diào)整為“2009”，最后單擊“確定”按鈕退出Windows Server 2008系統(tǒng)注冊表控制臺窗口，并重新啟動一下對應(yīng)系統(tǒng)就可以使上述設(shè)置操作正式生效了。
要是調(diào)整好遠(yuǎn)程桌面控制端口號碼后，日后我們想從局域網(wǎng)的普通工作站中與Windows Server 2008系統(tǒng)建立遠(yuǎn)程控制連接時，應(yīng)該在目標(biāo)遠(yuǎn)程主機后面直接添加上新的控制端口號碼，比方說Windows Server 2008系統(tǒng)主機使用的IP地址假設(shè)為10.192.168.156時，那么通過遠(yuǎn)程桌面連接該系統(tǒng)主機時就應(yīng)該將遠(yuǎn)程控制主機的地址修改為“10.192.168.156:2009”，而那些不清楚新控制端口號碼的任何一位用戶就不能與Windows Server 2008系統(tǒng)建立遠(yuǎn)程控制連接了。

 圖1

2、修改驗證方式讓遠(yuǎn)程連接更順暢
雖然舊的服務(wù)器系統(tǒng)也支持遠(yuǎn)程桌面控制功能，可是Windows Server 2008系統(tǒng)卻在安全性能方面對遠(yuǎn)程桌面控制功能進(jìn)行了特別強化，它允許我們進(jìn)行一些有針對性設(shè)置來限制局域網(wǎng)用戶隨意進(jìn)行遠(yuǎn)程控制登錄，以避免一些惡意攻擊者也偷偷使用遠(yuǎn)程桌面控制連接來非法攻擊Windows Server 2008服務(wù)器系統(tǒng)。不過，Windows Server 2008系統(tǒng)新增加的遠(yuǎn)程控制網(wǎng)絡(luò)級身份驗證功能，給我們的遠(yuǎn)程控制操作帶來了很大的麻煩，該功能要求客戶端系統(tǒng)必須安裝使用Windows Vista系統(tǒng)或Windows Server 2008系統(tǒng)，才能對遠(yuǎn)程主機進(jìn)行遠(yuǎn)程控制操作，其他任何操作系統(tǒng)都不能與Windows Server 2008服務(wù)器系統(tǒng)建立遠(yuǎn)程控制連接，這樣一來就會影響我們對Windows Server 2008系統(tǒng)的遠(yuǎn)程控制效率。為了讓遠(yuǎn)程控制連接更順暢、更高效，我們可以修改Windows Server 2008系統(tǒng)默認(rèn)使用的身份驗證方式，以便讓其允許任意版本的操作系統(tǒng)與之建立遠(yuǎn)程控制連接，下面就是具體的設(shè)置步驟：
首先以系統(tǒng)管理員身份登錄Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”命令，進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)的服務(wù)器管理器界面；
其次在服務(wù)器管理器界面的左側(cè)子窗格中選中“服務(wù)器管理”分支選項，在“服務(wù)器管理”分支選項下面單擊“服務(wù)器摘要”位置處的“配置遠(yuǎn)程桌面”選項，打開Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面參數(shù)設(shè)置窗口；
在該參數(shù)設(shè)置窗口的“遠(yuǎn)程桌面”處，我們發(fā)現(xiàn)這里有三個功能選項，要是我們想讓局域網(wǎng)中的任意一臺工作站系統(tǒng)，都可以非常順暢地使用遠(yuǎn)程桌面功能來對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制操作時，那可以嘗試選中“允許運行任意版本遠(yuǎn)程桌面的計算機連接”功能選項（如圖2所示），這樣一來我們?nèi)蘸缶湍芎茼槙车嘏cWindows Server 2008服務(wù)器系統(tǒng)建立遠(yuǎn)程控制操作了，不過如果隨意使用這種功能選項，容易對Windows Server 2008服務(wù)器系統(tǒng)帶來安全威脅。

 圖2

3、遠(yuǎn)程打開目標(biāo)主機遠(yuǎn)程控制功能
當(dāng)我們準(zhǔn)備借助遠(yuǎn)程桌面連接方式來對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制、管理時，有時會遭遇不能與對應(yīng)系統(tǒng)建立遠(yuǎn)程控制連接的故障現(xiàn)象，在對各種可能的因素進(jìn)行依次排查后，我們發(fā)現(xiàn)Windows Server 2008系統(tǒng)在被一些第三方工具自動優(yōu)化之后，先前能夠正常啟用的遠(yuǎn)程桌面控制功能竟然被意外地關(guān)閉運行了，這么一來，我們往往只有趕到Windows Server 2008系統(tǒng)現(xiàn)場才能重新將遠(yuǎn)程桌面控制功能恢復(fù)正常。事實上，我們只要能從普通工作站端正常Ping通Windows Server 2008系統(tǒng)，就可以遠(yuǎn)程打開對應(yīng)系統(tǒng)的遠(yuǎn)程桌面控制功能，下面就是遠(yuǎn)程打開目標(biāo)主機遠(yuǎn)程控制功能的具體實施步驟：
首先從局域網(wǎng)網(wǎng)絡(luò)中任意選擇一臺可以正常Ping通Windows Server 2008服務(wù)器系統(tǒng)的普通工作站作為遠(yuǎn)程控制終端，在該工作站系統(tǒng)桌面中依次點選“開始”、“運行”選項，在其后出現(xiàn)的系統(tǒng)運行對話框中，輸入字符串命令“mmc”，單擊“確定”按鈕后，打開本地工作站的系統(tǒng)控制臺窗口；
其次在該控制臺窗口中依次單擊菜單欄中的“文件”/“添加/刪除管理單元”命令，進(jìn)入添加/刪除管理單元設(shè)置窗口，從該設(shè)置窗口的可用管理單元列表中將“服務(wù)”項目選中，并且單擊中間顯示窗格中的“添加”按鈕，打開如圖3所示的設(shè)置對話框；
下面再從該設(shè)置對話框中將“另一臺計算機”項目選中，并且在對應(yīng)該選項后面的對話框中正確輸入Windows Server 2008服務(wù)器系統(tǒng)所在主機的計算機名稱或IP地址，再單擊“完成”按鈕退出添加設(shè)置對話框，最后單擊“確定”按鈕保存好上述設(shè)置操作，這個時候我們就能在本地工作站系統(tǒng)中看到Windows Server 2008服務(wù)器系統(tǒng)中的服務(wù)列表了，選擇服務(wù)列表中的目標(biāo)系統(tǒng)服務(wù)“Terminal services”，同時用鼠標(biāo)雙擊“Terminal services”服務(wù)選項，打開目標(biāo)系統(tǒng)服務(wù)的屬性設(shè)置對話框，先單擊該設(shè)置對話框中的“啟動”按鈕，來將Windows Server 2008服務(wù)器系統(tǒng)的“Terminal services”服務(wù)恢復(fù)正常的啟動狀態(tài)，之后還需要將目標(biāo)系統(tǒng)服務(wù)的啟動類型參數(shù)修改為“自動”啟動類型，如此一來Windows Server 2008服務(wù)器系統(tǒng)中的遠(yuǎn)程桌面控制功能又會被重新啟用起來，此時我們就可以重新與該服務(wù)器系統(tǒng)建立遠(yuǎn)程桌面控制連接了。

 圖3

4、讓遠(yuǎn)程控制處于防火墻保護之中
大家知道，Windows Server 2008系統(tǒng)自帶的防火墻功能非常強大，這不，巧妙設(shè)置該防火墻我們可以讓遠(yuǎn)程控制操作處于防火墻的安全保護之中。比方說，要是我們只想讓IP地址為10.192.168.156的普通工作站，可以使用遠(yuǎn)程桌面連接來對局域網(wǎng)域中的Windows Server 2008系統(tǒng)建立遠(yuǎn)程控制連接時，就可以通過設(shè)置Windows Server 2008中的防火墻相關(guān)組策略參數(shù)來實現(xiàn)這樣的控制目的，下面就是具體的實施步驟：
首先打開Windows Server 2008系統(tǒng)的“開始”菜單，從中單擊“運行”命令，打開對應(yīng)系統(tǒng)的運行對話框，在其中輸入“gpedit.msc”字符串命令，單擊回車鍵后，進(jìn)入對應(yīng)系統(tǒng)的組策略控制臺窗口；
其次將鼠標(biāo)定位于該組策略控制臺窗口左側(cè)顯示區(qū)域中的“本地計算機策略”分支選項，再從該分支下面依次展開/“計算機配置”/“管理模板”/“網(wǎng)絡(luò)”/“網(wǎng)絡(luò)連接”/“Windows防火墻”/“域配置文件”目標(biāo)組策略子項，在目標(biāo)組策略子項下面找到“Windows防火墻：允許入站遠(yuǎn)程管理例外”組策略選項，再用鼠標(biāo)雙擊該選項，打開如圖4所示的屬性設(shè)置對話框；
下面檢查該設(shè)置對話框中的“已啟用”選項是否處于選中狀態(tài)，如果沒有選中時我們應(yīng)該將它及時重新選中，再在“允許來自這些IP地址的未經(jīng)請求的傳入消息”對話框中正確輸入“10.192.168.156”，最后單擊“確定”按鈕完成上述設(shè)置任務(wù)，這樣的話日后局域網(wǎng)中IP地址為的10.192.168.156的普通工作站，才有權(quán)利使用遠(yuǎn)程桌面連接方式訪問域中的Windows Server 2008系統(tǒng)，其他任何用戶都不能對Windows Server 2008系統(tǒng)進(jìn)行遠(yuǎn)程控制操作。
當(dāng)然，如果我們希望暫時阻止局域網(wǎng)中的所有工作站使用遠(yuǎn)程桌面連接方式訪問Windows Server 2008系統(tǒng)時，也可以打開對應(yīng)系統(tǒng)的基本防火墻配置窗口，來禁止Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面自動接受網(wǎng)絡(luò)訪問請求；在進(jìn)行這種操作時，我們可以在Windows Server 2008系統(tǒng)的“開始”菜單中，依次點選“設(shè)置”/“控制面板”選項，之后在控制面板窗口中雙擊Windows防火墻圖標(biāo)，再在其后出現(xiàn)的窗口中單擊“啟用或關(guān)閉Windows防火墻”選項，進(jìn)入Windows Server 2008系統(tǒng)的基本防火墻配置窗口；
之后單擊“例外”選項卡，看看對應(yīng)選項設(shè)置頁面中的“遠(yuǎn)程桌面”功能選項是否處于選中狀態(tài)，如果看到該選項已經(jīng)被選中時，那就說明Windows Server 2008系統(tǒng)自帶的防火墻沒有對遠(yuǎn)程桌面連接操作進(jìn)行限制，這個時候我們可以在這里將“遠(yuǎn)程桌面”功能選項取消選中，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來局域網(wǎng)中的任何普通工作站在遠(yuǎn)程控制Windows Server 2008系統(tǒng)時，都會受到防火墻的阻止了。

 圖4

5、將遠(yuǎn)程控制權(quán)授予合法控制用戶
要是將Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接功能啟用成功后，該系統(tǒng)就像似開通了一扇后門一樣，合法的控制用戶能進(jìn)來，不合法的控制用戶同樣也能貿(mào)然進(jìn)來，這樣的話Windows Server 2008系統(tǒng)的安全性能就會受到不小的威脅。為了保證Windows Server 2008系統(tǒng)能夠始終安全地運行，我們可以將遠(yuǎn)程控制權(quán)授予合法控制用戶，下面就是具體的設(shè)置步驟：
首先以系統(tǒng)管理員身份登錄Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“程序”/“管理工具”/“服務(wù)器管理器”命令，進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)的服務(wù)器管理器界面；
其次在服務(wù)器管理器界面的左側(cè)子窗格中選中“服務(wù)器管理”分支選項，在“服務(wù)器管理”分支選項下面單擊“服務(wù)器摘要”位置處的“配置遠(yuǎn)程桌面”選項，打開Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面參數(shù)設(shè)置窗口；
下面在遠(yuǎn)程桌面參數(shù)設(shè)置窗口中單擊“遠(yuǎn)程桌面”位置處的“選擇用戶”按鈕，當(dāng)屏幕上出現(xiàn)如圖5所示的設(shè)置窗口時，我們可以在該設(shè)置窗口中將那些陌生的遠(yuǎn)程控制用戶賬號一一選中并刪除掉，之后再單擊“添加”按鈕，打開用戶賬號設(shè)置窗口，從中將我們信任的合法用戶賬號名稱選中并添加進(jìn)來，再單擊“確定”按鈕完成授權(quán)設(shè)置操作，這樣的話那些沒有經(jīng)過授權(quán)的非法用戶日后就不能使用遠(yuǎn)程桌面功能來對Windows Server 2008系統(tǒng)進(jìn)行遠(yuǎn)程控制操作了。
不過，有一點在這里需要提醒大家注意的是，我們盡量不要將遠(yuǎn)程控制權(quán)限授予組用戶賬號，而應(yīng)該根據(jù)實際情況對具體的某個可信任用戶進(jìn)行遠(yuǎn)程控制授權(quán)。而且，我們也不能對Administrators這個特權(quán)賬號進(jìn)行直接授權(quán)，這也是非常不安全的，畢竟要是惡意攻擊者通過遠(yuǎn)程方式獲得了Windows Server 2008系統(tǒng)的一個shell，那么惡意攻擊者只要自行創(chuàng)建一個隸屬管理員組級別的任意賬號，并通過該賬號就可以很輕松地使用遠(yuǎn)程桌面功能來遠(yuǎn)程控制Windows Server 2008了。

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. Windows Server 2003網(wǎng)絡(luò)管理員完全手冊
2. Windows Server 2008之Hyper-V技術(shù)解析