如何从细节加强Server 2008服务器远程桌面安全

2、对远程登录用户可采用的授权方法 默认情况下，Administrators组中的所有成员都可以远程登录，同时Windows Server 2008 Active Directory中的Remote Desktop Users组的成员也可以进行远程管理。处于安全考虑，我们必须更改默认授权而实施对特定的用户或者组授权。 (1)在远程桌面控制台中授权 在Windows Server 2008的“系统属性”对话框中，单击“远程”选项卡进入远程桌面设置窗口。在开启远程桌面后，单击其中的“选择用户”按钮，随后打开“远程桌面用户”对话框，同时所有Remote Desktop Users组的成员都会被列在这里。要添加新的用户或者组到该列表，单击“添加”按钮打开“选择用户或组”对话框。在该对话框中输入所选或默认域中用户或组的名称，然后单击“检查名称”。如果找到了多个匹配项目，则需要选择要使用的名称，然后单击“确定”。当然也可以单击“查找范围”按钮，选择其他位置通过查找功能添加相应的用户。如果还希望添加其他用户或者组，注意在它们直接输入分号(;)作为间隔。再次，笔者的建议是：删除对于组的授权，而只授予特定的用户远程连接权限。这样就会增加攻击者猜解用户账户的难度，从而提升了远程桌面的安全。作为一个安全技巧，大家可以取消administrator账户的远程连接权限，而赋予其他对于攻击者来说比较陌生的账户的远程连接权限。(图3) (2)通过组策略限制远程登录 在组策略中，Administrators和Remote Desktop Users组的成员默认具有“允许通过终端服务登录”的用户权限。如果修改过组策略，可能需要复查，以确保这个用户权限依然被分配给这些组。一般来说，可以针对具体的计算机复查设置，但也可以通过站点、域已经组织单元策略进行复查。打开相应的组策略对象，然后依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“用权限指派”，双击“通过终端服务允许登录”策略，查看要使用的用户和组是否在列。(图4) 如果希望限制用户对服务器进行远程登录，可以打开相应的组策略对象，展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“用权限指派” 节点，双击“通过终端服务拒绝登录”策略。在该策略的属性对话框中，选择“拒绝这些策略设置”，然后单击“添加用户或组”，在添加用户或组对话框中，单击“浏览”，并使用选择用户、计算机或组对话框输入希望拒绝通过终端服务进行本地登录的用户或组的名称，然后单击“确定”即可。另外，也可以在终端服务配置工具中修改组的默认权限。例如，可以将对终端访问对象具有完全控制权限的Administrators组删除。(图5)

---