Win XP遠端控制時保證安全必讀

跟其他遠端控制技術類似，遠端協助和遠端桌面同樣要在使用前考慮好安全問題。對於最高端別的安全要求，根本不建議在實際應用中使用遠端控制技術，不過要明白這種技術也能給使用者帶來便利。本章會就使用遠端控制技術時保證安全性的方法進行說明。

遠端協助

遠端協助（ra，remote assistance）技術允許使用者（邀請者）通過網路邀請其他人（受邀者）通過完了過解決自己遇到的實際問題。使用這種方法受邀者可以檢視邀請者的計算機螢幕並且互交流資訊，同時，如果邀請者允許，受邀者還可以通過網路操作邀請者的計算機直接解決問題。邀請者可以決定受邀者的許可權到底是僅螢幕檢視還是具有控制權。

要使用遠端協助，雙方都需要使用windows xp作業系統。

遠端協助可以由邀請者發起，這叫請求遠端協助；同時也可以由受邀者為邀請者提供遠端協助，這叫提供遠端協助。helpassistant賬戶就是給遠端協助操作準備的，這個賬戶是在安裝系統過程中建立的，並被隨意分配乙個複雜的密碼，隨後被禁用。當遠端協助邀請開啟時，使用者的電腦上會建立乙個「邀請者」的票證，同時3389埠也會開啟，並允許到終端服務的訪問，這時helpassistant賬戶會被自動啟用。

啟用後受邀者可以使用這個賬戶和建立的票證訪問邀請者的計算機。如果所有的票證都被關閉或者過期，helpassistant賬戶會被再次自動被禁用，3389埠也會同時關閉。

注意：遠端桌面功能也使用了終端服務，因此如果遠端桌面功能被啟用後，3389埠可能會一直開啟。請求方式的遠端協助

使用者可以通過電子郵件或者windowsmessenger請求遠端協助，或者把遠端協助的請求儲存為乙個檔案。目前還沒辦法限制初學者邀請人，任何人只要能物理上連線到初學者的計算機就可以接受他的邀請。當乙個遠端協助請求被答應後，初學者就可以看到專家的使用者名稱。

然而，唯一能確定連線來的使用者是正確使用者的方法是使用密碼。初學者在建立乙個協助請求時可以選擇用密碼保護這個協助，密碼並不包含在請求檔案中，而且受邀者必須輸入正確的密碼才能建立連線，密碼可以由初學者通過其他方法發給受邀者。不過，密碼複雜性、密碼策略還有賬戶鎖定策略等規則都不對這個密碼和賬戶生效。

通過windows messenger傳送的邀請是通過明文的方式以xml格式傳送的，通過email形式傳送或者儲存的邀請檔案是以msrcincident格式的檔案傳送的，這也是一種明文的xml格式。因此任何人只要能接觸到這些資料就都能讀出其中的內容，例如機器的ip位址、所使用的埠號以及邀請者是否設定了密碼保護。基於這些原因，對於安全要求比較嚴格的網路中，不建議使用遠端協助。

提供方式遠端協助

提供遠端協助通常被認為是對邀請者提供遠端協助更加安全的做法。提供遠端協助僅適用於位於同乙個域中或者被信任的域中的兩台計算機之間，並且通過設定允許使用者提供遠端協助。當使用這個功能時，專家不能在沒有宣告的情況下

連線到使用者的計算機，或者在沒有從使用者處獲得許可權的情況下控制計算機。同時使用者也有允許或者拒絕對方連線的能力。

要使用這種方式的遠端協助，安全配置模板的使用者許可權部分必須做如下修改：

使用者許可權建議設定允許通過終端服務登入

決定哪些使用者或者使用者組具有作為終端服務客戶端登入的能力，遠端桌面使用者需要這個許可權。如果同時還使用了遠端協助功能，應只有使用該功能的管理員具有這個許可權。注意：

如果要使用提供方式的遠端協助，則不用往該設定中新增任何使用者或者使用者組。

拒絕通過終端服務登入決定哪些使用者或者使用者組被禁止作為終端服務客戶端登入，這個許可權是為遠端桌面使用者使用的。除此之外，為了允許使用者使用提供方式的遠端協助，還需要設定以下幾個組策略：

在mmc的組策略元件中開啟gpo或者通過容器的屬性-組策略選項卡訪問gpo的鏈結

如果是通過組策略選項卡訪問，高亮選擇目標gpo然後點選編輯以訪問組策略元件

定位到計算機配置\管理模板\系統\遠端協助節點雙擊右側面版的請求遠端協助

點選已啟用按鈕，以允許使用者請求遠端協助

從下拉列表中選擇「只允許幫助者檢視此計算機」選項

設定最長票證時間（值）為0以及最長票證時間（單位）為分鐘應用設定，關閉對話方塊

注意：為了使用提供方式的遠端協助，其用請求遠端協助策略是必要的，然而，設定最長票證時間為0可以防止使用者使用請求遠端協助功能。雙擊右側面版的提供遠端協助功能

如果你打算允許專家在這台計算機上提供遠端協助，點選啟用按鈕在下拉列表中選擇「僅允許幫助者檢視此計算機」警告：建議你永遠不要允許使用者給與其他人遠端控制計算機的許可權，儘管使用者可以看到對方的操作以及隨時可以收回控制權，因為要破壞乙個系統治需要幾秒鐘就夠了。點選幫助者：

顯示按鈕並且把所有被允許對這台計算機提供遠端協助的使用者全部新增近來，例如有管理員，以及桌面幫助人員等。建議限制本功能僅對確實需要的使用者開放。使用者可以以以下的格式顯示：

\或\遠端桌面連線

遠端桌面（rd，remotedesktop）是用在windowsxpprofessional上的另一種優先功能的終端服務，它允許使用者從遠端連線到本機，並且像直接使用那樣使用本機的各種資源。windows xp professional系統中預設情況下遠端桌面功能是被禁用的。

遠端桌面連線是使用遠端桌面客戶端軟體進行的，xp系統中已經預設安裝

了該軟體，並且microsoft windows 2000、nt、windows 98和windows 95的客戶端軟體也已經包含在了windows xp中。遠端桌面還有乙個基於activex的客戶端，叫做rwdc（remote desktop web connection），可以被安裝到iis伺服器上。使用rdwc，任何計算機都可以通過使用支援activex的瀏覽器連線到適當的網頁，**activex客戶端，然後開啟遠端桌面連線。

當向xpprofessional系統安裝iis時，rwdc會被預設安裝。

當遠端桌面被啟用後，3389埠被開啟以接受終端服務的訪問。所有的管理員（本機的和域中的）以及在「遠端桌面使用者」中被列出的使用者和使用者組都可以遠端訪問該計算機。當連線被啟用後，被連線的計算機將會被自動鎖定，如果目標計算機上已經有使用者登入，遠端的使用者將會看到乙個選項，可以把目標計算機上本地登入的使用者登出，然後從遠端登入上去，但這需要遠端使用者已經被成功驗證，並且需要具有管理員許可權。

遠端桌面使用標準的windows驗證機制，因此密碼策略和賬戶鎖定策略也可以被應用到遠端桌面，所有用於遠端桌面的賬戶都必須設定有密碼。注意：建議在使用遠端桌面的過程中鎖定預設的administrator賬戶並禁止該賬戶從遠端登入，不過本地登入是不受此限制的。

要使用遠端桌面功能，安全模板中的使用者許可權部分必須做如下改變：

使用者許可權建議設定允許通過終端服務登入

決定哪些使用者或者使用者組具有通過終端服務客戶端登入的許可權，遠端桌面使用者需要該許可權，如果同時使用了遠端協助功能，應只有使用此功能的管理員具有該許可權。administrators、remote desktop users

拒絕通過終端服務登入決定哪些使用者或者使用者組沒有通過終端服務客戶端登入的許可權，該許可權是為遠端桌面使用者準備的。

要允許計算機接受遠端桌面連線，可以採取以下操作：

在我的電腦上點選滑鼠右鍵，並選擇屬性以開啟系統屬性對話方塊在對話方塊中開啟遠端選項卡

選中允許使用者遠端連線到這台計算機核取方塊

點選選擇遠端使用者按鈕開啟遠端桌面使用者對話方塊本局本地策略的定義新增相應的使用者或者使用者組

注意：該操作會把被選中的使用者和使用者組新增到本地remotedesktopusers使用者組中，可以通過本地計算機管理工具直接對加入該組的使用者和使用者組進行編輯。

組策略-管理模板terminal services

除了上面指出的一些設定之外，還建議對終端服務進行如下設定，並同樣作為gpo的一部分或者通過本地計算機配置應用到計算機上。

這些對終端服務的建議設定都位於gpo的計算機配置\管理模板\windows元件\終端服務節點下，並可以通過mmc的組策略元件訪問。終端服務設定同樣可以在使用者設定節點下找到，不過那裡的設定會被計算機配置下的設定覆蓋。

網路配置建議

遠端協助和遠端桌面都使用了終端服務使得使用者可以遠端訪問本地計算機，在windowsxp系統中使用這些功能時，終端服務使用了3389埠。強烈建議通過設定僅允許本地區域網使用遠端連線功能，並且在對外防火牆或者路由器上封掉3389埠。在該埠上所有的入站和出站連線都必須被阻止以禁止非法訪問。

如果僅阻止了入站連線，遠端協助功能還是有可能通過windowsmessenger與區域網外部使用，因此雙向的通訊都要被阻止。

如果需要從本地區域網那個外使用遠端協助或遠端桌面連線，建議在防火牆或者路由器上設定過濾，以確保只有特定的ip位址可以當問到區域網內的系統。其他所有位址到3389埠的訪問都應當被禁止。如果需要更高安全級別的保護，可以安裝乙個vpn伺服器，並使用非常強的驗證方式使得少數使用者可以撥入到vpn伺服器。

當然僅允許特定的ip位址可以連線到vpn伺服器也是個好方法。

Win XP遠端控制時保證安全必讀

遠端開機和遠端控制

遠端控制模組說明

企業遠端控制遠端監控解決方案

Win XP遠端控制時保證安全必讀

遠端開機和遠端控制

遠端控制模組說明

企業遠端控制遠端監控解決方案

相關推薦