服务器远程桌面安全策略 服务器远程桌面安全策略有哪些-成都快上网建站

服务器远程桌面安全策略 服务器远程桌面安全策略有哪些

如何设置IP安全策略,只允许特定IP访问服务器

03系统例举

成都创新互联公司来电联系:18980820575,为您提供成都网站建设网页设计及定制高端网站建设服务,成都创新互联公司网页制作领域10年,包括柔性防护网等多个行业拥有丰富的网站营销经验,选择成都创新互联公司,为企业保驾护航。

01.首先打开控制面板,进入“管理工具”,然后双击打开“本地安全策略”

02.使用鼠标右键单击左方的“ip

安全策略,在

本地计算机”选项,并选择“创建

ip

安全策略”选项

03.点击“下一步”按钮

04.设置一个ip策略名称,例如设置为“端口限制策略”,使用其它名称也可以

05.点击“下一步”按钮

06.去掉“激活默认响应规则”选项的勾

07.点击“下一步”按钮

08.点击“完成”按钮

09.去掉右导”选项的勾

10.现在先开始添止所有机器访问服务器,点击“添加”按钮

11.点击“添加”按钮

12.设置ip筛选器的名称,例如设置为“禁止所有机器访问服务器”,使用其它名称也可以

13.点击“添加”按钮

14.如果该服务器不打算上网,则可以将“源地址”设置为“任何

ip

地址”。如果需要上网,建议设置为“一个特定的

ip

子网”,并设置ip地址为与该服务器ip地址相同的网段,例如服务器ip地址是192.168.1.10,则可以设置为192.168.1.0,也就是前面3个数字是相同的,后面最后一位填1即可,并设置子网掩码,这个设置和服务器子网掩码一致即可(具体请自行查看服务器的子网掩码),如果局域网都是在192.168.1.*的范围,则直接设置为255.255.255.0即可

15.将“目标地址”设置为“我的

ip

地址”

16.点击“确定”按钮

17.点击“确定”按钮

18.选择刚创建的ip筛选器(即12步中设置的名称)

19.切换到“筛选器操作”选项页

20.去掉“使用添加向导”选项的勾

21.点击“添加”按钮

22.选择“阻止”选项

23.切换到“常规”选项页

24.设置筛选器操作名称,建议设置为“禁止”或“阻止”,使用其它名称也可以

25.点击“确定”按钮

26.选择刚创建的筛选器操作(即24步设置的名称)

27.点击“应用”按钮

28.点击“确定”按钮

29.现在开始添加允许访问该服务器的机器,点击“添加”按钮

30.点击“添加”按钮

31.设置ip筛选器名称,建议设置为“允许访问的机器”,使用其它名称也可以

32.点击“添加”按钮

33.将“源地址”设置为“一个特定的

ip

地址”,并设置下方的ip地址为允许访问该服务器的ip中的一个(每次只能添加一个,所以需要慢慢添加)

34.设置“目标地址”为“我的

ip

地址”

35.点击“确定”按钮

36.重复32至35步将要允许访问该服务器的ip全部添加

37.点击“确定”按钮

38.选择刚创建的“ip

筛选器”(即31步设置的名称)

39.切换到“筛选器操作”选项页

40.选择“许可”选项

41.点击“应用”按钮

42.点击“确定”按钮

43.点击“确定”按钮

44.使用鼠标右键单击刚创建的ip策略(即第4步设置的名称),并选择“指派”即可

45.以后需要添加、修改、删除允许访问的ip时,可以编辑该ip策略的ip筛选器进行设置

注意:需要注意的是并非设置了ip策略后就能100%保证其它机器无法访问服务器,因为如果他人知道您允许哪个ip访问该服务器,对方可以修改自己的ip地址,以获得访问权限ip,这样您的策略就失效了。因此您可能还需要在服务器上绑定允许访问该服务器的ip地址的mac地址(可以使用arp

-s命令来绑定),并在路由器中对这些ip绑定mac地址。不过对方也可以修改mac地址来获取访问权限,因此使用ip安全策略并非绝对安全。

轻松管理Win的远程桌面

相信大家对Windows Server 2003中的“远程桌面”功能已经比较熟悉了,借助该功能,任何用户都可以轻松实现对服务器的远程访问和管理。如果使用组策略编辑器对“远程桌面”作进一步的设置,就可以使它更好地为我们服务。下面笔者就为大家介绍一下其中的几项设置。

提示:打开“组策略编辑器”的方法为:依次点击“开始→运行”,在“运行”对话框中键入“gpedit。msc”命令并回车,即可打开“组策略编辑器”窗口。

一、允许/禁止“远程桌面”连接

我们可以通过组策略允许或禁止使用“远程桌面”连接功能。在“组策略编辑器”左侧窗口中,依次展开“计算机配置→管理模板→Windows组件→终端服务”目录。单击目录名“终端服务”,在右侧窗口中双击“允许用户使用终端服务远程连接”选项。然后在属性对话框的“设置”选项卡下点选“已启用”或“已禁用”单选框并单击“确定”按钮即可。

二、配置“数据重定向”

通过配置客户端/服务器数据重定向,我们可以设置在建立连接后所能使用的客户端资源。双击目录名“客户端/服务器数据重定向”,在右侧窗口中列出了可以设置的客户端资源。假如我们想在成功建立“远程桌面”连接后使用客户端的声卡播放服务器上的声音文件,则应该双击“允许音频重定向”选项,在属性对话框中的“设置”选项卡下点选“已启用”选项并单击“确定”按钮,这样就可以远程播放声音文件了。

三、设置空闲会话连接时间

在成功建立连接后,可能由于某种原因(如忘记断开连接)致使会话处于空闲状态,很明显这是不安全的。不过我们可以限制空闲会话的连接时间。展开“会话”子目录,双击其中的“为活动但空闲的终端服务会话设置时间限制”选项,打开属性对话框,在“设置”选项卡下点选“已启用”选项,在“空闲会话限制”下拉列表框中选中一个时间选项(如5分钟),并单击“确定”按钮(见图)。

补遗:添加远程访问用户

在实际工作当中,需要使用“远程桌面”功能的可能不止系统管理员一个人。因此可以为有这方面需求的用户设置权限。尽管这不属于组策略的设置范畴,但笔者觉得还是有必要补充一下。

右键点击“我的电脑”,选择“属性”命令,在“系统属性”对话框的“远程”选项卡下单击“选择远程用户”按钮。然后在“远程桌面用户”对话框中单击“添加”按钮,在“选择用户”对话框中依次点击“高级→立即查找”按钮。从用户列表中选中目标用户即可。

如何解决远程桌面提示超出最大连数的问题?

修改组策略,彻底解决远程win2003超出最大连数的问题

如果你维护服务器,那你一定遇到过远程桌面Windows 2003超出最大连接数的问题,最简单的方法就是重启服务器来注销用户,或在本地登录注销用户!但是这样做的话非常不方便,而且重启服务器的话可能还会造成损失,这里我介绍下彻底解决远程桌面Windows 2003超出最大连接数的问题!

我解决Windows 2003远程桌面超出最大连接数故障的方法分两种:

方法一可以治标

但出现Windows 2003远程桌面超出最大连接数时候,我们可以这样来处理:

步骤:

打开开始菜单中的运行,输入mstsc /console /v:服务器IP:远程端口 后回车,然后在远程桌面登陆画面输入服务器账号密码登录Windows 2003服务器

方法二可以治本

我们通过配置组策略来限制连接时间

首先登陆Windows 2003服务器

在开始菜单的运行输入gpedit。msc后按回车键,然后在左边依次展开计算机配置-管理模板-windows组件-终端服务-会话,右边窗口选择 为断开的会话设置时间限制 -选择已启用,选择一个时间

这样就可以避免出现Windows 2003的远程桌面超出最大连接数的故障了!

另一个方法:本人没有验证,如果有朋友验证了话,在下面留言给我!谢谢!

Windows Server 2003默认情况下允许远程终端连接的数量是2个用户,我们可以根据需要适当增加远程连接同时在线的用户数。

单击“开始→运行”,输入“gpedit。msc”打开组策略编辑器窗口,依次定位到“计算机配置→管理模板→Windows 组件→终端服务”,再双击右侧的'“限制连接数量”修改组策略,彻底解决远程win2003超出最大连数的问题!

修改远程桌面终端端口并登录方法

远程桌面终端服务默认端口为“3389”,为防止他人进行恶意连接,就需要对默认端口进行更改。

对此可打开注册表编辑器, 依次展开“HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Control/Terminal Server/Wds/rdpwd/Tds/tcp”分支,其下的“PortNumber”键值所对应的就是端口号,将其修改即可。

上面设置完成后,需要 再依次展开“HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Control/Terminal Server/WinStations/RDP—Tcp”分支,同样将其下的“PortNumber”键值进行更改。

当更改了服务器的远程登录端口后,可 在本地的“远程桌面连接程序”中设置连接的服务器地址,然后单击“连接设置→另存为”,导出并保存连接文件。然后用记事本打开导出的“*。rdp”文件, 在其中添加语句“server port:i:端口号”,保存后导入连接即可。

要注意,在Windows 2000中导出的是“。cns”文件,可打开后在其中找到“Server Port =3389”语句,将其默认的“3389”端口修改为与服务器相同的登录端口。

PS:特别提醒,是十进制的

如何授予允许登录到远程计算机?

在Windows设置→安全设置→本地策略→用户权利分配“通过终端服务拒绝登陆”中,不能加入Users组,加入了就不能访问。删除后就可以正常访问。

1。 "控制面板" —— "管理工具" —— "终端服务配置"

2。 点击"连接", 右边出现连接项(例如: RDP—Tcp,tcp,Microsoft RDP 5。2)

3。 双击要修改的连接项。

3。 弹出窗口, 单击"权限"选项卡。

4。 单击"高级",然后单击"添加"。

5。 指定要添加的用户或组,使该用户或组能够使用“远程控制”。

6。 添加用户或组之后,将显示权限项 对话框。单击“远程控制”的允许 列,将其选中。

7。 单击确定。

8。 单击确定,再次单击确定。

要登录到这台远程计算机,您必须被授予允许通过终端服务登录的权限。

重启远程终端服务的三个方法!(一)

如果服务器中的终端服务没有启用或被意外停止,而又恰好急需使用该服务进行远程管理服务器,惟一的办法就是重新启用该服务。为了能让大家更好地利用该服务远程管理服务器,本文特意从本地和远端这两个角度出发,来向各位详细介绍启用远程终端服务的不同方法。

修改属性法

这种方法其实就是对终端服务的系统属性进行修改,让其启动类型从“已禁用”状态修改成“自动”状态,具体操作步骤为:

依次单击“开始” “运行”,运行命令“services。msc”,进入系统服务列表界面;从该界面的右侧窗格区域中,找到并双击“Terminal services”服务,打开该服务的属性设置界面;单击“启动”按钮,将该服务的启动类型设置为“自动”,再单击“确定”,完成远程终端服务的启用。当然,也可以在系统服务列表界面中,顺便启用Telnet服务。

即使不在服务器本地,也能借助系统控制台窗口来远程修改服务器中的“Terminal services”服务属性,达到远程开启服务器终端服务的目的。在远程开启服务器终端服务时,只要先在远端工作站中执行“mmC”命令,打开本地系统的控制台窗口,然后依次单击“文件” “添加/删除管理单元”命令,单击“添加”按钮,将“服务”管理单元导入;在“这个管理单元一直管理”处选中“另一台计算机”,并输入服务器的IP地址,再单击“完成”按钮,最后我们再按前面的方法,修改好“Terminal services”服务的属性,就能实现远程启用服务器终端服务的目的了。

编辑注册表法

这种方法是通过修改与远程终端服务相关的注册表子键,来实现启用远程终端服务的目的:

依次单击“开始” “运行”命令,运行命令“regedit”,进入系统注册表编辑窗口;展开注册表分支 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTermService,在对应 TermService子键的右侧窗格区域中,找到并双击“Start”键,打开该键的数值设置对话框,在其中输入数字“2”,并单击“确定”,然后重新启动服务器系统,就能将服务器中的远程终端服务启用了。

上面的方法只是在服务器本地进行的,其实在远端工作站中也可以借助该方法将服务器中的终端服务打开。 在远端工作站系统中,同样要先打开系统的运行对话框,并输入注册表编辑命令“regedit”,单击“确定”,进入系统注册表编辑窗口;在该窗口中,依次单击菜单栏中的“文件” “连接网络注册表”,然后在弹出的服务器密码验证对话框中输入具有访问服务器注册表权限的账号与密码,登录成功后再按前面方法,修改TermService子键下面的“Start” 键值,日后服务器系统一旦重新启动,服务器中的终端服务就可以生效了。

如果服务器中的终端服务没有启用或被意外停止,而又恰好急需使用该服务进行远程管理服务器,惟一的办法就是重新启用该服务。为了能让大家更好地利用该服务远程管理服务器,本文特意从本地和远端这两个角度出发,来向各位详细介绍启用远程终端服务的不同方法。

终端服务与远程桌面的区别和联系

终端服务默认情况下是不安装在操作系统中的,需要时通过添加删除Windows组件来安装。终端服务起到的作用就是方便多用户一起操作网络中开启终端服务的服务器,所有操作和运算都放在该服务器上。

终端服务与远程桌面都是Windows系统的组件,都是由微软公司开发的。通过这两个组件可以实现用户在网络的另一端控制、操作服务器,运行程序就好象操纵本地计算机一样简单迅速。

远程终端服

务允许多个客户端同时登录服务器,不管是设备授权还是用户授权都需要CAL客户访问授权证书,而远程桌面管理只是提供给操作员和管理员一个图形化远程进入服务器进行管理的界面(从界面上看和远程终端服务一样的),不需要CAL许可证书;远程桌面最多只允许两个管理员登陆的进程,而终端服务没有限制;远程桌面只能容许管理员权限的用户登录,而终端服务则没有这个限制,什么样权限的用户都可以通过终端服务远程控制服务器,只不过登录后权限还是和自己的权限一致而已。

借用外力法

这种方法是借用Windows 2000系统安装光盘中的无人值守安装程序来实现开启服务器终端服务的目的:

首先找到Windows 2000系统安装光盘并将它放入本地计算机的光驱中;打开该安装光盘中的1386文件夹,找到名为“sysocmgr。ex”的文件,并用Winrar或其它压缩软件将其释放出来,再将释放出来的目标文件直接复制到本地系统安装目录下面的“system32”文件夹中;

到服务器所在的计算机中,打开记事本文本编辑程序,并在编辑界面中输入如下命令代码:

Code:

[Components]

TSEnabled=on

保存为“C:setupterm。txt”文件;回到保存有“sysocmgr。ex”释放文件的计算机,依次单击“开始” “运行”命令,然后在弹出的系统运行框中输入“cmn”,单击“确定”,将系统工作状态切换到MS—DOS模式;在DOS命令行中执行“telnet XXX。XXX。XXX。XXX”命令(其中XXX。XXX。XXX。XXX为服务器所在计算机的IP地址),然后正确输入访问服务器的账号与密码登录服务器;接下来执行“sysocmgr。exe/i: X:WinNTinfsysoc。inf /u: C:setupterm。txt /q”命令(其中X为服务器操作系统所在的磁盘分区符号),最后将服务器系统重新启动,就能完成启用远程终端服务操作了。

windows 2003系统启动问题

我的服务器是windows 2003,今天非正常关机后,启动提示“因以下文件的损坏或丢失,windows无法启动:windowssyster32configsystem,你可以通过使用原始启动软盘或cd—rom来启动windows安装程序,以便修复这个文件。在第一屏时选择“r”,开始修复。”我使用故障恢复台在DOS下将windows/reapir目录下的system文件拷贝到相应目录,之后重新启动,出现 window 2003启动的滚动条后系统蓝屏,重复几次都是这样。请问这是怎么回事,该怎么解决?

蓝屏提示:

stop:c0000218 {registry file failure}

The registry cannot load the hive (file):

systembootsystem32configsecurity

or its log or alternate

It is corrupt,absent,or not uritable

Beginning dump of phsical memory

Dumping physical memory to disk:1

最后的数字是系统自动读秒。

网友分析回答:

1。用户界面某某dll文件,进winpe替换这个dll文件。

2。用安装光盘来修复就可以了。ghost的盘子是不行的。

3。恢复是要原盘的,我手头没有原盘。刚才我用PE系统进去之后把windows/repair下的文件全部复制到windows/system32/config目录下面,现在进系统不蓝屏了,但是到了要出桌面的时候提示“用户界面某某dll文件出错,要重新启动”,点重启后反复是这样。

4。注册表文件失败,有试过用安装盘修复操作呢?

如何保护远程桌面协议(RDP)网络端点安全?

如果某个特定群体的人只能连接到特定服务器组,围绕这些请求来修改防火墙规则将有助于控制访问权限。 61 确定谁能够建立到服务器的RDP连接。考虑将RDP访问限制到特定群体(通过组策略或者对目标计算机手动操作),而不是对所有人开放,限制访问权限。同时,我们建议将本地管理员账户从RDP访问删除,所有用户的账户都应该提前在系统中进行明确定义。 61 虽然NLA可以当做某种形式的身份验证,使用SSL证书来验证到主机系统的客户端请求是用于RDP最好的验证方法。将证书安装在系统和RDP客户端上,只有证书通过验证,才可以建立RDP会话。 61 确保所有运行RDP的系统都安装了最新的修复补丁,特别是在最近导致微软发出安全公告MS12-020的事件之后。 61 最后,使用GPO来强制执行密码政策,要求在域中使用一定长度的密码,并设置锁定政策以防止攻击者暴力破解入侵服务器。

抵御恶意使用RDP 上述方法可以帮助企业保护在企业中使用RDP。现在,让我们看看企业应该如何验证RDP有没有被使用,以保护企业免受RDP恶意使用或者未经授权的安装。 61 在网络内部和外部运行漏洞或端口扫描,可以帮助确认是否有任何系统在监听RDP连接。在内部运行这种扫描,可以确认哪些系统在运行RDP,然后由企业的团队来确实他们是否应该运行这些软件。从外部网络的角度来看,如果扫描结果显示RDP监听来自外部,IT团队必须尽快采取行动。很多漏洞扫描器发现RDP在非标准端口运行,这可以帮助企业找出试图偷偷RDP安装的人。 61 使用日志记录或者安全事故和事件管理(SIEM)系统来确定哪些设备正在监听和接收RDP会话,这可以让你了解网络中正在发生何种类型的RDP连接。某些系统是否出现多次失败登录?其他系统是否在接受不应该接受的连接? 61 最后,确保系统没有不恰当使用RDP的最好方法是:定义一个组策略,只允许经批准的系统来运行RDP。 总而言之,RDP是一个伟大的工具,管理员和用户可以从一个中央位置使用RDP来建立对系统的多个连接。管理员还可以将RDP用于远程系统管理,但是和其他系统一样,如果连接和软件不安全的话,企业可能面临风险。了解RDP如何运作,为什么要使用RDP以及如何保护RDP安全,能够帮助管理员更好地保护其系统。

Windows远程桌面安全吗?五种组策略教您配置Windows远程桌面功能

一些组织已经将Windows远程桌面作为技术支持的一种有价值的工具,但是因为其特性还存在一些安方面的问题。考虑到对Windows远程桌面的不同看法,是否能确定这个技术是敌是友?

我很想把Windows远程桌面归为讨厌的东西,原因很简单,就像我认识的所有其他IT专业人士一样,我的朋友和家人都把我当作他们的个人技术支持热线。我可以为这些人提供远程帮助这件事只会增加我接到的支持电话的数量。然而,撇开个人偏见不谈,从企业支持的角度来看,我不认为这个特性本身有什么不好。

那么,那些告诉我Windows远程桌面在他们的组织中造成的问题的人呢?我听说过企业用户绕过帮助台,从甚至可能不在同一家公司工作的朋友那里寻求远程桌面帮助的故事。这些故事很少有皆大欢喜的结局。敏感数据可以通过远程协助会话公开,而自称计算机专家的好心朋友可能会让简单的问题变得更糟。

但仔细看看这些轶事就会发现,Windows远程桌面本身并不是问题:问题在于Windows没有得到适当的保护,允许用户从帮助台以外的来源寻求帮助。因此,“助手”可能会对公司桌面造成严重破坏。

为了避免这些问题,请遵循微软推荐的远程桌面安全最佳方案。当然要以防止滥用Windows远程桌面系统的方式配置它。

尽管Microsoft没有提供许多配置Windows远程桌面的选项,但是您可以使用一些组策略设置,以在组织中使用它。这些组策略设置都可以在计算机上的组策略编辑器中找到----配置|管理模板|系统|远程辅助。

第一种策略设置是 只允许Vista或更高版本的连接 。本质上,早期此设置旨在通过阻止Windows XP用户使用Windows远程桌面来提高安全性。微软之所以提供这种功能,是因为Windows XP版本的这项功能使用了相对较弱的加密。但是请注意,此设置不影响由即时消息传递联系人发起的远程桌面连接。基于主动提供的帮助也不受影响,下文将进一步详细讨论。

第二种策略设置是 打开会话日志记录 。顾名思义,它允许计算机保存远程桌面相关活动的日志。在远程桌面会话期间执行的实际任务不会被记录,但是Windows会跟踪已建立的任何远程桌面会话。

第三种策略设置与安全性无关: 优化减少带宽的设置 ,旨在通过在远程桌面会话期间禁用Windows背景或减少颜色深度等操作来节省网络带宽。

您可以设置自定义警告提示,在用户请求帮助之前或在用户接受与其计算机的连接之前显示警告,在警告中清楚地指出关于如何使用远程桌面的公司策略以及违反该策略需要承担的后果。

第四种策略设置是 被请求的远程桌面的设置 ,它指的是用户通过远程桌面会话请求帮助的情况。您可以阻止用户请求帮助,允许用户通过远程桌面接收帮助,或者允许远程会话,其中帮助程序只能查看(但不能与之交互)远程桌面。

第五种策略设置是 提供远程桌面的设置 。此设置控制用户没有特别请求的远程桌面会话。您不仅可以启用或禁用不请自来的远程桌面帮助还可以编制一个允许提供非请求帮助的用户列表。

因为你可用的Windows远程桌面帮助的选项是有限的。如果你的目标是防止用户从朋友或家人那里获得未经授权的“帮助”,除非你使用其他更安全的远程桌面管控软件,否则你最好的选择是防止请求远程桌面帮助。这样,用户就不允许发送远程桌面帮助的邀请。

云子可信远程桌面软件 可降低电脑维护成本,保证企业 IT 安全。支持企业内网远程和异地外网远程;支持网页端远程和主控客户端远程 2 种远程方式;可选择远程控制模式,进行静默远程,无需被控端确认;远程会话帧率高达 60 fps,提供优质的远程桌面体验。


当前名称:服务器远程桌面安全策略 服务器远程桌面安全策略有哪些
新闻来源:http://kswjz.com/article/ddsseie.html
扫二维码与项目经理沟通

我们在微信上24小时期待你的声音

解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流