权限 建议设置 允许通过终端服务登录
决定哪些用户或者用户组具有通过终端服务客户端登录的权限,远程桌面用户需要该权限,如果同时使用了远程协助功能,应只有使用此功能的管理员具有该权限。 Administrators、Remote Desktop Users 拒绝通过终端服务登录决定哪些用户或者用户组没有通过终端服务客户端登录的权限,该权限是为远程桌面用户准备的。 <无人>
要允许计算机接受远程桌面连接,可以采取以下操作:
在我的电脑上点击鼠标右键,并选择属性以打开系统属性对话框
在对话框中打开远程选项卡
选中允许用户远程连接到这台计算机复选框
点击选择远程用户…按钮打开远程桌面用户对话框
本局本地策略的定义添加相应的用户或者用户组
注意:该操作会把被选中的用户和用户组添加到本地Remote Desktop Users用户组中,可以通过本地计算机管理工具直接对加入该组的用户和用户组进行编辑。
组策略-管理模板
Terminal Services
除了上面指出的一些设置之外,还建议对终端服务进行如下设置,并同样作为GPO的一部分或者通过本地计算机配置应用到计算机上。
这些对终端服务的建议设置都位于GPO的计算机配置\管理模板\Windows组件\终端服务节点下,并可以通过MMC的组策略组件访问。终端服务设置同样可以在用户设置节点下找到,不过那里的设置会被计算机配置下的设置覆盖。
表16 终端服务策略选项
网络配置建议
远程协助和远程桌面都使用了终端服务使得用户可以远程访问本地计算机,在Windows XP系统中使用这些功能时,终端服务使用了3389端口。强烈建议通过设置仅允许本地局域网使用远程连接功能,并且在对外防火墙或者路由器上封掉3389端口。在该端口上所有的入站和出站连接都必须被阻止以禁止非法访问。如果仅阻止了入站连接,远程协助功能还是有可能通过Windows Messenger与局域网外部使用,因此双向的通讯都要被阻止。
如果需要从本地局域网那个外使用远程协助或远程桌面连接,建议在防火墙或者路由器上设置过滤,以确保只有特定的IP地址可以当问到局域网内的系统。其他所有地址到3389端口的访问都应当被禁止。如果需要更高安全级别的保护,可以安装一个VPN服务器,并使用非常强的验证方式使得少数用户可以拨入到VPN服务器。当然仅允许特定的IP地址可以连接到VPN服务器也是个好方法。