哪些方法可以保障XP遠程控制時的安全

武則天在線 2012-09-08

展開全文

大家對于遠程可能不是太上心，因為平時我們生活中比較少用到這個功能，但是，在工作上這個功能其實很必要的，但是因為是遠程所以有時候病毒會找到漏洞進來，因此遠程的時候要盡量保證系統(tǒng)安全。

　　跟其他遠程控制技術類似，遠程協(xié)助和遠程桌面同樣要在使用前考慮好安全問題。對于最高級別的安全要求，根本不建議在實際應用中使用遠程控制技術，不過要明白這種技術也能給用戶帶來便利。本章會就使用遠程控制技術時保證安全性的方法進行說明。

　　遠程協(xié)助

　　遠程協(xié)助(RA，Remote Assistance)技術允許用戶(邀請者)通過網絡邀請其他人(受邀者)通過完了過解決自己遇到的實際問題。使用這種方法受邀者可以查看邀請者的計算機屏幕并且互交流信息，同時，如果邀請者允許，受邀者還可以通過網絡操作邀請者的計算機直接解決問題。邀請者可以決定受邀者的權限到底是僅屏幕查看還是具有控制權。要使用遠程協(xié)助，雙方都需要使用Windows XP操作系統(tǒng)。

　　遠程協(xié)助可以由邀請者發(fā)起，這叫請求遠程協(xié)助;同時也可以由受邀者為邀請者提供遠程協(xié)助，這叫提供遠程協(xié)助。HelpAssistant賬戶就是給遠程協(xié)助操作準備的，這個賬戶是在安裝系統(tǒng)過程中創(chuàng)建的，并被隨意分配一個復雜的密碼，隨后被禁用。當遠程協(xié)助邀請打開時，用戶的電腦上會創(chuàng)建一個“邀請者”的票證，同時3389端口也會打開，并允許到終端服務的訪問，這時HelpAssistant賬戶會被自動啟用。啟用后受邀者可以使用這個賬戶和創(chuàng)建的票證訪問邀請者的計算機。如果所有的票證都被關閉或者過期，HelpAssistant賬戶會被再次自動被禁用，3389端口也會同時關閉。

　　注意：遠程桌面功能也使用了終端服務，因此如果遠程桌面功能被啟用后，3389端口可能會一直打開。

　　請求方式的遠程協(xié)助

　　用戶可以通過電子郵件或者Windows Messenger請求遠程協(xié)助，或者把遠程協(xié)助的請求保存為一個文件。目前還沒辦法限制初學者邀請人，任何人只要能物理上連接到初學者的計算機就可以接受他的邀請。當一個遠程協(xié)助請求被答應后，初學者就可以看到專家的用戶名。然而，唯一能確定連接來的用戶是正確用戶的方法是使用密碼。初學者在創(chuàng)建一個協(xié)助請求時可以選擇用密碼保護這個協(xié)助，密碼并不包含在請求文件中，而且受邀者必須輸入正確的密碼才能建立連接，密碼可以由初學者通過其他方法發(fā)給受邀者。不過，密碼復雜性、密碼策略還有賬戶鎖定策略等規(guī)則都不對這個密碼和賬戶生效。

　　通過Windows Messenger發(fā)送的邀請是通過明文的方式以XML格式發(fā)送的，通過email形式發(fā)送或者保存的邀請文件是以MsRcIncident格式的文件發(fā)送的，這也是一種明文的XML格式。因此任何人只要能接觸到這些數(shù)據(jù)就都能讀出其中的內容，例如機器的IP地址、所使用的端口號以及邀請者是否設置了密碼保護。

　　基于這些原因，對于安全要求比較嚴格的網絡中，不建議使用遠程協(xié)助。
提供方式遠程協(xié)助

　　提供遠程協(xié)助通常被認為是對邀請者提供遠程協(xié)助更加安全的做法。提供遠程協(xié)助僅適用于位于同一個域中或者被信任的域中的兩臺計算機之間，并且通過設置允許用戶提供遠程協(xié)助。當使用這個功能時，專家不能在沒有聲明的情況下連接到用戶的計算機，或者在沒有從用戶處獲得權限的情況下控制計算機。同時用戶也有允許或者拒絕對方連接的能力。

　　要使用這種方式的遠程協(xié)助，安全配置模板的用戶權限部分必須做如下修改：

　　用戶權限建議設置允許通過終端服務登錄

　　決定哪些用戶或者用戶組具有作為終端服務客戶端登錄的能力，遠程桌面用戶需要這個權限。如果同時還使用了遠程協(xié)助功能，應只有使用該功能的管理員具有這個權限。注意：如果要使用提供方式的遠程協(xié)助，則不用往該設置中添加任何用戶或者用戶組。 <無人> 拒絕通過終端服務登錄決定哪些用戶或者用戶組被禁止作為終端服務客戶端登錄，這個權限是為遠程桌面用戶使用的。 <無人>

　　除此之外，為了允許用戶使用提供方式的遠程協(xié)助，還需要設置以下幾個組策略：

　　在MMC的組策略組件中打開GPO或者通過容器的屬性-組策略選項卡訪問GPO的鏈接

　　如果是通過組策略選項卡訪問，高亮選擇目標GPO然后點擊編輯以訪問組策略組件

　　定位到計算機配置管理模板系統(tǒng)遠程協(xié)助節(jié)點

　　雙擊右側面版的請求遠程協(xié)助

　　點擊已啟用按鈕，以允許用戶請求遠程協(xié)助

　　從下拉菜單中選擇“只允許幫助者查看此計算機”選項

　　設置最長票證時間(值)為0以及最長票證時間(單位)為分鐘

　　應用設置，關閉對話框

　　注意：為了使用提供方式的遠程協(xié)助，其用請求遠程協(xié)助策略是必要的，然而，設置最長票證時間為0可以防止用戶使用請求遠程協(xié)助功能。

　　雙擊右側面版的提供遠程協(xié)助功能

　　如果你打算允許專家在這臺計算機上提供遠程協(xié)助，點擊啟用按鈕

　　在下拉菜單中選擇“僅允許幫助者查看此計算機”

　　警告：建議你永遠不要允許用戶給與其他人遠程控制計算機的權限，盡管用戶可以看到對方的操作以及隨時可以收回控制權，因為要破壞一個系統(tǒng)治需要幾秒鐘就夠了。

　　點擊幫助者：顯示…按鈕并且把所有被允許對這臺計算機提供遠程協(xié)助的用戶全部添加近來，例如有管理員，以及桌面幫助人員等。建議限制本功能僅對確實需要的用戶開放。用戶可以以以下的格式顯示：

　　<域名><用戶名>或<域名><組名>

　　遠程桌面連接

　　遠程桌面(RD，Remote Desktop)是用在Windows XP Professional上的另一種優(yōu)先功能的終端服務，它允許用戶從遠程連接到本機，并且像直接使用那樣使用本機的各種資源。Windows XP Professional系統(tǒng)中默認情況下遠程桌面功能是被禁用的。

　　遠程桌面連接是使用遠程桌面客戶端軟件進行的，XP系統(tǒng)中已經默認安裝了該軟件，并且Microsoft Windows 2000、NT、Windows 98和Windows 95的客戶端軟件也已經包含在了Windows XP中。遠程桌面還有一個基于ActiveX的客戶端，叫做RWDC(Remote Desktop Web Connection)，可以被安裝到IIS服務器上。使用RDWC，任何計算機都可以通過使用支持ActiveX的瀏覽器連接到適當?shù)木W頁，下載ActiveX客戶端，然后打開遠程桌面連接。當向XP Professional系統(tǒng)安裝IIS時，RWDC會被默認安裝。

　　當遠程桌面被啟用后，3389端口被打開以接受終端服務的訪問。所有的管理員(本機的和域中的)以及在“遠程桌面用戶”中被列出的用戶和用戶組都可以遠程訪問該計算機。當連接被啟用后，被連接的計算機將會被自動鎖定，如果目標計算機上已經有用戶登錄，遠程的用戶將會看到一個選項，可以把目標計算機上本地登錄的用戶注銷，然后從遠程登錄上去，但這需要遠程用戶已經被成功驗證，并且需要具有管理員權限。　　遠程桌面使用標準的Windows驗證機制，因此密碼策略和賬戶鎖定策略也可以被應用到遠程桌面，所有用于遠程桌面的賬戶都必須設置有密碼。

　　注意：建議在使用遠程桌面的過程中鎖定默認的administrator賬戶并禁止該賬戶從遠程登錄，不過本地登錄是不受此限制的。

　　要使用遠程桌面功能，安全模板中的用戶權限部分必須做如下改變：

　　用戶權限建議設置允許通過終端服務登錄

　　決定哪些用戶或者用戶組具有通過終端服務客戶端登錄的權限，遠程桌面用戶需要該權限，如果同時使用了遠程協(xié)助功能，應只有使用此功能的管理員具有該權限。 Administrators、Remote Desktop Users 拒絕通過終端服務登錄決定哪些用戶或者用戶組沒有通過終端服務客戶端登錄的權限，該權限是為遠程桌面用戶準備的。 <無人>

　　要允許計算機接受遠程桌面連接，可以采取以下操作：

　　在我的電腦上點擊鼠標右鍵，并選擇屬性以打開系統(tǒng)屬性對話框

　　在對話框中打開遠程選項卡

　　選中允許用戶遠程連接到這臺計算機復選框

　　點擊選擇遠程用戶…按鈕打開遠程桌面用戶對話框

　　本局本地策略的定義添加相應的用戶或者用戶組

　　注意：該操作會把被選中的用戶和用戶組添加到本地Remote Desktop Users用戶組中，可以通過本地計算機管理工具直接對加入該組的用戶和用戶組進行編輯。
組策略-管理模板

　　Terminal Services

　　除了上面指出的一些設置之外，還建議對終端服務進行如下設置，并同樣作為GPO的一部分或者通過本地計算機配置應用到計算機上。

　　這些對終端服務的建議設置都位于GPO的計算機配置管理模板Windows組件終端服務節(jié)點下，并可以通過MMC的組策略組件訪問。終端服務設置同樣可以在用戶設置節(jié)點下找到，不過那里的設置會被計算機配置下的設置覆蓋。

　　網絡配置建議

　　遠程協(xié)助和遠程桌面都使用了終端服務使得用戶可以遠程訪問本地計算機，在Windows XP系統(tǒng)中使用這些功能時，終端服務使用了3389端口。強烈建議通過設置僅允許本地局域網使用遠程連接功能，并且在對外防火墻或者路由器上封掉3389端口。在該端口上所有的入站和出站連接都必須被阻止以禁止非法訪問。如果僅阻止了入站連接，遠程協(xié)助功能還是有可能通過Windows Messenger與局域網外部使用，因此雙向的通訊都要被阻止。

　　如果需要從本地局域網那個外使用遠程協(xié)助或遠程桌面連接，建議在防火墻或者路由器上設置過濾，以確保只有特定的IP地址可以當問到局域網內的系統(tǒng)。其他所有地址到3389端口的訪問都應當被禁止。如果需要更高安全級別的保護，可以安裝一個VPN服務器，并使用非常強的驗證方式使得少數(shù)用戶可以撥入到VPN服務器。當然僅允許特定的IP地址可以連接到VPN服務器也是個好方法.

　　這個教程主要是介紹下遠程的功能以及如果保證系統(tǒng)安全的方法，篇幅有點長大家要耐心看了，最好是多看幾遍才好，當然如果有更好的方法大家可以一起分享，希望對你們有幫助。