萬盛學電腦網

 萬盛學電腦網 >> windows 2003教程 >> windows 2003遠程桌面安全策略設置

windows 2003遠程桌面安全策略設置

    windows的遠程桌面雖然用起來比較方便,但其安全性和資源占用比起SSH還是有不少的差距。

    想到的安全策略有一下幾個:

    1、更改默認端口號

    終端服務默認使用知名端口號3389,很顯然大家都知道這個端口是做什麼的,所以改端口號可以躲過很多的機器掃描。可以從終端服務本機上修改默認端口號,如果有防火牆做NAT,那更簡單了,NAT後的端口號別用3389就是了。

    2、設置復雜密碼

    現在的GPU處理能力十分恐怖,所以密碼位數少了就不安全了,大小寫字母和數字組合的12位密碼目前還基本夠用。遠程桌面竟然不支持CA證書驗證登錄,這點不如SSH了。SSH設置成2048位RSA證書登錄,禁止口令登錄,禁止root登錄,就相當的安全了。

    3、限制登錄嘗試次數

    修改組策略,“計算機配置->windows設置->安全設置->賬戶策略->賬戶鎖定策略”,“賬戶鎖定阈值”設置為10,也 就是10次無效登錄後就封鎖對方IP,禁止其在一段時間內繼續嘗試登錄。“賬戶鎖定時間”就是無效登錄後多久才可以繼續嘗試登錄。“復位賬戶鎖定計數器” 設置多長時間後復位“賬戶鎖定阈值”,必須小於等於“賬戶鎖定時間”。

    4、禁止administrator用戶遠程桌面登錄

    administrator實在是太扎眼了,可以禁止其遠程桌面登錄,另設立一個管理員賬戶來執行遠程登錄任務,這樣用戶名和密碼的組合就更復雜了,爆破的難度大大加大。

    雙擊“計算機配置->Windows設置->安全設置->本地策略->用戶權限分配->通過終端服務允許登錄”,將Administrators賬號刪除掉,加入另設立的管理員賬戶即可。

    5、加密遠程桌面連接

    默認情形下,遠程桌面的數據鏈接是不加密的,十分危險有木有,容易被監聽有木有。2003以後的windows版本可以使用SSL來加密遠程桌面連接。


copyright © 萬盛學電腦網 all rights reserved