憑借無與倫比的安全優(yōu)勢，Windows Server 2008系統(tǒng)讓不少朋友在不知不覺中加入了使用行列。不過，這并不意味著Windows Server 2008系統(tǒng)的安全性就能讓人高枕無憂了;這不，當我們開啟了該系統(tǒng)自帶的遠程桌面功能后，Windows Server 2008系統(tǒng)的安全問題隨即就凸顯出來了，如果我們不對遠程桌面功能進行合適設置，那么Windows Server 2008服務器系統(tǒng)受到非法攻擊的可能性就會加大。為了讓Windows Server 2008系統(tǒng)更安全，本文特意總結(jié)幾則遠程桌面功能的安全設置技巧，希望大家能從中獲得啟發(fā)!

　　強迫執(zhí)行網(wǎng)絡級身份驗證

　　盡管傳統(tǒng)也具有遠程桌面功能，不過Windows Server 2008系統(tǒng)對遠程桌面功能的安全性能進行了強化，它允許網(wǎng)絡管理員通過合適設置來強迫遠程桌面連接用戶執(zhí)行網(wǎng)絡級身份驗證，以防止一些非法用戶也趁機使用遠程桌面功能來入侵Windows Server 2008服務器系統(tǒng)。要實現(xiàn)強迫遠程桌面連接用戶執(zhí)行網(wǎng)絡級身份驗證操作時，我們必須按照如下步驟來設置Windows Server 2008系統(tǒng)的遠程桌面連接參數(shù)：

　　首先以超級用戶的身份登錄進入Windows Server 2008服務器系統(tǒng)，打開對應系統(tǒng)的“開始”菜單，從中依次選擇“程序”、“管理工具”、“服務器管理器”選項，打開本地服務器系統(tǒng)的服務器管理器控制臺窗口;

　　其次將鼠標定位于服務器管理器控制臺窗口左側(cè)顯示區(qū)域中的“服務器管理”節(jié)點選項上，在對應“服務器管理”節(jié)點選項的右側(cè)顯示區(qū)域，單擊“服務器摘要”設置區(qū)域中的“配置遠程桌面”鏈接，打開服務器系統(tǒng)遠程桌面功能的設置對話框;

　　在該設置對話框的“遠程桌面”處，服務器系統(tǒng)共為我們提供了三個設置選項，如果我們想讓局域網(wǎng)中的任何一臺普通計算機都能順利使用遠程桌面連接來遠程控制Windows Server 2008服務器系統(tǒng)時，那應該將“允許運行任意版本遠程桌面的計算機連接”功能選項選中，當然這種功能選項容易對Windows Server 2008服務器系統(tǒng)的運行安全性帶來麻煩。

　　為了讓我們能夠安全地使用遠程桌面功能來遠程控制服務器，Windows Server 2008系統(tǒng)推出了“只允許運行帶網(wǎng)絡級身份驗證的遠程桌面的計算機連接”這一控制選項(如圖1所示)，我們只要將該控制選項選中，再單擊“確定”按鈕保存好設置操作，日后Windows Server 2008系統(tǒng)就會自動強制對任何一位遠程桌面連接用戶執(zhí)行網(wǎng)絡級身份驗證操作了，這樣的話非法用戶自然也就不能輕易通過遠程桌面連接功能來非法攻擊Windows Server 2008服務器系統(tǒng)了。

　　只許特定用戶使用遠程桌面

　　要是開通了Windows Server 2008服務器系統(tǒng)的遠程桌面功能，本地服務器中也就多開了一扇后門，有權(quán)限的用戶能進來，沒有權(quán)限的用戶同樣也能進來，如此一來本地服務器系統(tǒng)的運行安全性自然就容易受到威脅。事實上，我們可以對Windows Server 2008服務器系統(tǒng)的遠程桌面功能進行合適設置，讓有遠程管理需求的特定用戶能從遠程桌面這扇后門中進來，其他任何用戶都不允許自由進出，那樣的話Windows Server 2008服務器系統(tǒng)受到非法攻擊的可能性就會大大降低了;要想讓特定用戶使用遠程桌面功能，我們可以按照如下操作來設置Windows Server 2008服務器系統(tǒng)：

　　首先打開Windows Server 2008服務器系統(tǒng)的“開始”菜單，從中依次選擇“程序”、“管理工具”、“服務器管理器”選項，進入本地服務器系統(tǒng)的服務器管理器控制臺窗口;

　　其次單擊服務器管理器控制臺窗口右側(cè)區(qū)域中的“配置遠程桌面”鏈接選項，打開服務器系統(tǒng)遠程桌面功能的設置對話框，單擊該對話框中的“選擇用戶”按鈕，系統(tǒng)屏幕上將會出現(xiàn)如圖2所示的設置窗口;

　　將該設置窗口中已經(jīng)存在的用戶賬號一一選中，并單擊“刪除”按鈕;之后，再單擊“添加”按鈕，在其后出現(xiàn)的用戶賬號瀏覽對話框中，找到有遠程管理需求的特定用戶賬號，并將該賬號選中添加進來，再單擊“確定”按鈕退出設置操作，這樣的話任何一位普通用戶日后都不能使用遠程桌面功能來對Windows Server 2008服務器系統(tǒng)進行遠程管理了，而只有在這里設置的特定用戶才有權(quán)限通過遠程桌面連接訪問目標服務器系統(tǒng)。

　　禁止administrator使用遠程桌面

　　在缺省狀態(tài)下，Windows Server 2008服務器系統(tǒng)允許administrator賬號使用遠程桌面功能，為了防止非法攻擊者嘗試使用該用戶賬號來攻擊本地服務器系統(tǒng)，我們可以按照下面的操作來禁止administrator賬號通過遠程桌面連接來訪問Windows Server 2008服務器系統(tǒng)：

　　由于從服務器系統(tǒng)中無法直接刪除administrator賬號，為此我們可以采用最為極端的方法，那就是將administrator賬號強行禁用;禁用該用戶賬號最簡單的方法就是先依次單擊服務器系統(tǒng)桌面中的“開始”/“程序”/“附件”選項，從下拉菜單中選中“命令提示符”命令，并用鼠標右鍵單擊該命令選項，再執(zhí)行右鍵菜單中的“以管理員身份運行”命令，打開Windows Server 2008系統(tǒng)的MS-DOS工作窗口，在該窗口的命令行中執(zhí)行字符串命令“net user administrator /active:no”就可以了。

　　不過，上面的方法往往會影響網(wǎng)絡管理員正常管理服務器系統(tǒng)，為此我們還可以通過為administrator賬號更名的方式，來禁止administrator使用Windows Server 2008系統(tǒng)的遠程桌面連接：

　　首先以超級用戶的身份登錄進入Windows Server 2008服務器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開始”/“運行”命令，在彈出的系統(tǒng)運行對話框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕，打開本地服務器系統(tǒng)的組策略編輯控制臺窗口;

　　其次在該控制臺窗口的左側(cè)列表區(qū)域中，將鼠標定位于“計算機配置”分支選項上，再從該分支下面依次展開“Windows設置”/“安全設置”/“本地策略”/“安全選項”，在對應“安全選項”的右側(cè)顯示區(qū)域中，雙擊“帳戶：重命名系統(tǒng)管理員”目標組策略選項，打開如圖3所示的選項設置窗口，在該窗口中我們就能將administrator的名稱修改成其他人不容易猜中的賬號名稱，最后單擊“確定”按鈕就能使設置生效了。

　　當然，我們也可以通過將administrator賬號的終端登錄權(quán)限取消的方法，來達到禁止administrator使用遠程桌面功能的目的;在取消administrator賬號的終端登錄權(quán)限時，我們可以先按前面操作打開服務器系統(tǒng)的組策略編輯控制臺窗口，將鼠標定位于組策略編輯控制臺窗口左側(cè)區(qū)域中的“計算機配置”分支選項上，再從該分支下面依次展開“Windows設置”/“安全設置”/“本地策略”/“用戶權(quán)限分配”子項，在對應“用戶權(quán)限分配”子項的右側(cè)顯示區(qū)域中，雙擊目標組策略選項“通過終端服務允許登錄”，在其后彈出的窗口中將administrators賬號刪除掉，如此一來，當非法用戶嘗試使用administrator賬號遠程連接Windows Server 2008服務器系統(tǒng)時，就會出現(xiàn)拒絕登錄的報警提示。