Windows远程桌面安全吗？五种组策略教您配置Windows远程桌面功能

一些组织已经将Windows远程桌面作为技术支持的一种有价值的工具，但是因为其特性还存在一些安方面的问题。考虑到对Windows远程桌面的不同看法，是否能确定这个技术是敌是友?

我很想把Windows远程桌面归为讨厌的东西，原因很简单，就像我认识的所有其他IT专业人士一样，我的朋友和家人都把我当作他们的个人技术支持热线。我可以为这些人提供远程帮助这件事只会增加我接到的支持电话的数量。然而，撇开个人偏见不谈，从企业支持的角度来看，我不认为这个特性本身有什么不好。

那么，那些告诉我Windows远程桌面在他们的组织中造成的问题的人呢?我听说过企业用户绕过帮助台，从甚至可能不在同一家公司工作的朋友那里寻求远程桌面帮助的故事。这些故事很少有皆大欢喜的结局。敏感数据可以通过远程协助会话公开，而自称计算机专家的好心朋友可能会让简单的问题变得更糟。

但仔细看看这些轶事就会发现，Windows远程桌面本身并不是问题:问题在于Windows没有得到适当的保护，允许用户从帮助台以外的来源寻求帮助。因此，“助手”可能会对公司桌面造成严重破坏。

为了避免这些问题，请遵循微软推荐的远程桌面安全最佳方案。当然要以防止滥用Windows远程桌面系统的方式配置它。

尽管Microsoft没有提供许多配置Windows远程桌面的选项，但是您可以使用一些组策略设置，以在组织中使用它。这些组策略设置都可以在计算机上的组策略编辑器中找到----配置|管理模板|系统|远程辅助。

第一种策略设置是 只允许Vista或更高版本的连接 。本质上，早期此设置旨在通过阻止Windows XP用户使用Windows远程桌面来提高安全性。微软之所以提供这种功能，是因为Windows XP版本的这项功能使用了相对较弱的加密。但是请注意，此设置不影响由即时消息传递联系人发起的远程桌面连接。基于主动提供的帮助也不受影响，下文将进一步详细讨论。

第二种策略设置是 打开会话日志记录 。顾名思义，它允许计算机保存远程桌面相关活动的日志。在远程桌面会话期间执行的实际任务不会被记录，但是Windows会跟踪已建立的任正卜埋何远程桌面会话。

第三种策略设置与安全性无关: 优化减少带宽的设置 ,旨在通过在远程桌面会话期间禁用Windows背景或减少颜色深度等 *** 作来节省网络带宽。

您可以设置自定义警告提示，在用户请求帮助之前或在用户接受与其计算机的连接之前显示警告，在警告中清楚地指出关于如何使用远程桌面的公司策略以及违反该策略需要承担的后果。

第四种策略设置是 被请求的远程桌面的设置 ，它指的是用户通过远程桌面会话请求帮助的情况。您可以阻止用户请求帮助，允许用户通过远程桌面接收帮助，或者允许远程会话，其中帮助程序只能查看(但不能与之交互)远程桌面。

第五种策略设置是 提供远程桌面的设置 。此设置控制用户没有特别请求的远程桌面会话。您不仅可以启用或禁用不请自来的远程桌面帮助还可以编制一个允许提供非请求帮助的用户列表。

因为你可用的Windows远程桌面帮助的选项是有限的。如果你的目标是防止用户从朋友或家人那里获得未经授权的“帮助”，除非你使用其他举蚂更安全的远程桌面管控软件，否则你最好的选择是防止请求远程桌面帮助。这样，用户就不允许发送远程桌面帮助的邀请。

云子可信远程桌面软件 可降低电脑维护成本，保证企业 IT 安全。支持企业内网远程和异地外网远程；支持网页端远程和主控客户弊烂端远程 2 种远程方式；可选择远程控制模式，进行静默远程，无需被控端确认；远程会话帧率高达 60 fps，提供优质的远程桌面体验。

其实组策略的设置过程都差不多，和我前面的谈歼几篇文章一样，首先打开「开始」菜单，在“搜索程序和文件”搜索框中输入"gpedit.msc"并回车，打开组策略对象编辑器。

在组策略对象编辑器窗格左侧的树形图中依次展开"计算机配置→管理模板→系统如下图所示:

接下来在右侧窗格中双击远程协助，然后会出现设置界面:如下图所示:

然后双击点开请求远程协助:来到属性界面:

现在先来看下系统对于"请求的远程协助"的说明吧:

指定用户是否能通过“远程协助”请求其他用户的协助。

如果启用此策略设置，用户可以向另一台计算机的用户(“专家”)发送一个“远程协助”邀请。如果获得用户随后的允许，此专家可以使用此邀请查看用户即时的屏幕、鼠标和键盘活动。

“允许远程控制此计算机”选项指定不同计算机上的用户能否控制此计算机。如果用户邀请专家连接到此计算机并授余颂予权限，此专家可以控制此计算机。在远程协助会话期间，此专家只能发出进行控制的请求。用户可以随时停止远程控制。

“最大票证时间”设置设置远程协助邀请持续时间的限制。

“发送电子邮件邀请的方法”选项指定发送远程协助邀请的电子邮件的标准。根据不同的电子邮件程序，您可以使用 Mailto (邀请收件人通过 Internet 链接连接) 或 SMAPI (简单 MAPI)标准(邀请附在电子邮件上)。电子邮件程序必须支持所选的电竖侍郑子邮件标准。此选项只适用 Windows Server 2003。

---