windows的遠端桌面雖然用起來比較方便,但其安全性和資源占用比起ssh還是有不少的差距。
想到的安全策略有一下幾個:
1、更改預設埠號
終端服務預設使用知名埠號3389,很顯然大家都知道這個埠是做什麼的,所以改埠號可以躲過很多的機器掃瞄。可以從終端服務本機上修改預設埠號,如果有防火牆做nat,那更簡單了,nat後的埠號別用3389就是了。
2、設定複雜密碼
現在的gpu處理能力十分恐怖,所以密碼位數少了就不安全了,大小寫字母和數字組合的12位密碼目前還基本夠用。遠端桌面竟然不支援ca證書驗證登入,這點不如ssh了。ssh設定成2048位rsa證書登入,禁止口令登入,禁止root登入,就相當的安全了。
3、限制登入嘗試次數
修改組策略,」計算機配置->windows設定->安全設定->賬戶策略->賬戶鎖定策略」,」賬戶鎖定閾值」設定為10,也就是10次無效登入後就封鎖對方ip,禁止其在一段時間內繼續嘗試登入。」賬戶鎖定時間」就是無效登入後多久才可以繼續嘗試登入。」復位賬戶鎖定計數器」設定多長時間後復位」賬戶鎖定閾值」,必須小於等於」賬戶鎖定時間」。
4、禁止administrator使用者遠端桌面登入
administrator實在是太扎眼了,可以禁止其遠端桌面登入,另設立乙個管理員賬戶來執行遠端登入任務,這樣使用者名稱和密碼的組合就更複雜了,爆破的難度大大加大。
雙擊」計算機配置->windows設定->安全設定->本地策略->使用者許可權分配->通過終端服務允許登入」,將administrators賬號刪除掉,加入另設立的管理員賬戶即可。
5、加密遠端桌面連線
預設情形下,遠端桌面的資料鏈結是不加密的,十分危險有木有,容易被監聽有木有。2003以後的windows版本可以使用ssl來加密遠端桌面連線。
修改windows2003遠端桌面埠
修改遠端桌面埠需要兩個步驟 1 開啟登錄檔 hkey local machine system currentcontrolset control terminal server wds rdpwd tds tcp 把右邊portnamber的值修改為3307 2 再開啟登錄檔 hkey local...
開啟Windows 2003遠端桌面連線的方法
開啟windows 2003遠端桌面連線的方法 如果設定已經是步驟中的結果,則可跳過 1 hklm system currentcontrolset control terminal server fdenytsconnections將其值改為0 2 開啟組策略 執行gpedit.msc 計算機配置...
開啟Windows 2003遠端桌面連線服務的方法
開啟windows 2003遠端桌面連線的方法 如果設定已經是步驟中的結果,則可跳過 1 hklm system currentcontrolset control terminal server fdenytsconnections將其值改為0 2 開啟組策略 執行gpedit.msc 計算機配置...