windows 2003遠程桌面安全應用設置

    windows的遠程桌面雖然用起來比較方便，但其安全性和資源占用比起SSH還是有不少的差距。

    想到的安全策略有一下幾個：

    1、更改默認端口號

    終端服務默認使用知名端口號3389，很顯然大家都知道這個端口是做什麼的，所以改端口號可以躲過很多的機器掃描。可以從終端服務本機上修改默認端口號，如果有防火牆做NAT，那更簡單了，NAT後的端口號別用3389就是了。

    2、設置復雜密碼

    現在的GPU處理能力十分恐怖，所以密碼位數少了就不安全了，大小寫字母和數字組合的12位密碼目前還基本夠用。遠程桌面竟然不支持CA證書驗證登錄，這點不如SSH了。SSH設置成2048位RSA證書登錄，禁止口令登錄，禁止root登錄，就相當的安全了。

    3、限制登錄嘗試次數

    修改組策略，“計算機配置->windows設置->安全設置->賬戶策略->賬戶鎖定策略”，“賬戶鎖定阈值”設置為10，也 就是10次無效登錄後就封鎖對方IP，禁止其在一段時間內繼續嘗試登錄。“賬戶鎖定時間”就是無效登錄後多久才可以繼續嘗試登錄。“復位賬戶鎖定計數器” 設置多長時間後復位“賬戶鎖定阈值”，必須小於等於“賬戶鎖定時間”。

    4、禁止administrator用戶遠程桌面登錄

    administrator實在是太扎眼了，可以禁止其遠程桌面登錄，另設立一個管理員賬戶來執行遠程登錄任務，這樣用戶名和密碼的組合就更復雜了，爆破的難度大大加大。

    雙擊“計算機配置->Windows設置->安全設置->本地策略->用戶權限分配->通過終端服務允許登錄”，將Administrators賬號刪除掉，加入另設立的管理員賬戶即可。

    5、加密遠程桌面連接

    默認情形下，遠程桌面的數據鏈接是不加密的，十分危險有木有，容易被監聽有木有。2003以後的windows版本可以使用SSL來加密遠程桌面連接。