远程桌面虽然为管理员带来了便利,但同时也带来了安全隐患,通过远程桌面进行入侵是一种惯用的黑客手段。
可以通过两方面的措施来增强远程桌面的安全性。
一是管理好用户密码, 尤其是管理员账号的密码要遵循一定的安全策略。关于密码管理,在后面将专门讲述。
二是修改远程桌面的默认端口号TCP3389,很多黑客都是通过扫描3389端口来实现入侵,因而将3389修改为1024~65535之间的一个任意端口,将很好地避免被黑客扫描。
1. 修改默认端口号
可以通过修改注册表的方式来修改远程桌面的端口号,比如要将端口号改为TCP6000。
在注册表中展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Terminal Server\WinStations\RDP-Tcp],将右侧名为PortNumber的键值的值(默认是3389)修改成6000即可。
修改之后,需要执行“netstat -an”命令确认端口号是否修改成功,如图3-40所示,命令执行后显示TCP 6000端口正处于LISTENING监听状态,表示已经修改成功。
如果执行命令后发现开放的仍然是TCP 3389端口,那么只需将远程桌面服务先暂时关闭,然后再重新启用即可。
2. 设置服务器端防火墙
修改了端口号之后,注意还要配置服务器端的防火墙,允许发往TCP6000端口的数据通过。对于Windows2003系统,可以在防火墙的“例外”中添加一条例外规则,
对于Windows Server 2008 R2系统,则需要在防火墙的高级设置中添加一条入站规则。以下为操作步骤:
① 在“规则类型”中选择“端口”。
② 在“协议和端口”中指定TCP 6000端口。
③ 在“操作”中选择“允许连接”。
④ 在“配置文件”中将规则应用于所有的网络类型。
⑤ 在“名称”中为规则起一个名字,如“rdp”。
3. 客户端配置
在客户端要连接远程桌面时,注意必须要在IP地址的后面指明端口号6000,否则客户端仍然会使用默认的3389端口进行连接。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1331010
