Win XP远程控制时如何保证安全( 二 )

<无人> 拒绝通过终端服务登录决定哪些用户或者用户组被禁止作为终端服务客户端登录 , 这个权限是为远程桌面用户使用的 。<无人>
除此之外 , 为了允许用户使用提供方式的远程协助 , 还需要设置以下几个组策略:
在MMC的组策略组件中打开GPO或者通过容器的属性-组策略选项卡访问GPO的链接
如果是通过组策略选项卡访问 , 高亮选择目标GPO然后点击编辑以访问组策略组件
定位到计算机配置管理模板系统远程协助节点
双击右侧面版的请求远程协助
点击已启用按钮 , 以允许用户请求远程协助
从下拉菜单中选择“只允许帮助者查看此计算机”选项
设置最长票证时间(值)为0以及最长票证时间(单位)为分钟
应用设置 , 关闭对话框
注意:为了使用提供方式的远程协助 , 其用请求远程协助策略是必要的 , 然而 , 设置最长票证时间为0可以防止用户使用请求远程协助功能 。
双击右侧面版的提供远程协助功能
如果你打算允许专家在这台计算机上提供远程协助 , 点击启用按钮
【Win XP远程控制时如何保证安全】在下拉菜单中选择“仅允许帮助者查看此计算机”
警告:建议你永远不要允许用户给与其他人远程控制计算机的权限 , 尽管用户可以看到对方的操作以及随时可以收回控制权 , 因为要破坏一个系统治需要几秒钟就够了 。
点击帮助者:显示…按钮并且把所有被允许对这台计算机提供远程协助的用户全部添加近来 , 例如有管理员 , 以及桌面帮助人员等 。建议限制本功能仅对确实需要的用户开放 。用户可以以以下的格式显示:
<域名><用户名>或<域名><组名>
远程桌面连接
远程桌面(RD , Remote Desktop)是用在Windows XP Professional上的另一种优先功能的终端服务 , 它允许用户从远程连接到本机 , 并且像直接使用那样使用本机的各种资源 。Windows XP Professional系统中默认情况下远程桌面功能是被禁用的 。
远程桌面连接是使用远程桌面客户端软件进行的 , XP系统中已经默认安装了该软件 , 并且Microsoft Windows 2000、NT、Windows 98和Windows 95的客户端软件也已经包含在了Windows XP中 。远程桌面还有一个基于ActiveX的客户端 , 叫做RWDC(Remote Desktop Web Connection) , 可以被安装到IIS服务器上 。使用RDWC , 任何计算机都可以通过使用支持ActiveX的浏览器连接到适当的网页 , 下载ActiveX客户端 , 然后打开远程桌面连接 。当向XP Professional系统安装IIS时 , RWDC会被默认安装 。
当远程桌面被启用后 , 3389端口被打开以接受终端服务的访问 。所有的管理员(本机的和域中的)以及在“远程桌面用户”中被列出的用户和用户组都可以远程访问该计算机 。当连接被启用后 , 被连接的计算机将会被自动锁定 , 如果目标计算机上已经有用户登录 , 远程的用户将会看到一个选项 , 可以把目标计算机上本地登录的用户注销 , 然后从远程登录上去 , 但这需要远程用户已经被成功验证 , 并且需要具有管理员权限 。远程桌面使用标准的Windows验证机制 , 因此密码策略和账户锁定策略也可以被应用到远程桌面 , 所有用于远程桌面的账户都必须设置有密码 。
注意:建议在使用远程桌面的过程中锁定默认的administrator账户并禁止该账户从远程登录 , 不过本地登录是不受此限制的 。
要使用远程桌面功能 , 安全模板中的用户权限部分必须做如下改变:
用户权限建议设置允许通过终端服务登录
决定哪些用户或者用户组具有通过终端服务客户端登录的权限 , 远程桌面用户需要该权限 , 如果同时使用了远程协助功能 , 应只有使用此功能的管理员具有该权限 。Administrators、Remote Desktop Users拒绝通过终端服务登录决定哪些用户或者用户组没有通过终端服务客户端登录的权限 , 该权限是为远程桌面用户准备的 。

推荐阅读