搞定Windows 7“远程桌面”连接

“远程桌面”早在Windows Server 2000时就诞生了。但由于它的性格过于刚烈,不但要正确配置防火墙,而且在安全方面也存在重大隐患。

时至Windows 7,远程桌面的开启和使用并没有想象的那么复杂。

服务器端只要“系统服务”中的Remote Desktop Services处于“已启动”状态,再设置一下“我的电脑”中“属性”项就可以开启开启了。

Windows 7客户端的远程桌面开启更容易,在运行中输入mstsc,再输入连电脑的IP地址就能工作了。远没有Windows XP那样,须额外配置防火墙或关掉防火墙。

系统被入侵了!罪魁“远程桌面”正是早被贴上“不安全”标签的远程桌面……告诉你,这不是“远程桌面的RPWT”,而是设置问题!

第一步:极端的安全――通信过程加密

“数据包加密”一词,屡见于各IT文章之中,给人一种很高深的感觉……把这高深的技术请来为远程桌面护航非IPsec出马不可!

在运行中输入mmc打开“Windows控制台管理器”。点击“文件添加/删除管理单元”,选择“IP安全策略管理”后点击添加,这里弹出“选择计算机或域”的窗口保持默认即可,然后确定。此时,右击刚刚新建的管理单元,选择“创建IP安全策略”,为它取一个名字后,其他保持默认,一路下一步即可(PS:创建的过程中,不要勾选“激活默认响应规则”)。

创建完成后,在弹出的属性窗口中点击“添加”,为你的IP安全策略添加规则。此处的添加规则是IPsec策略的重点!任何一条规则都需要详细配置它的三要素:筛选器、加密、身份验证。

筛选器:在IP筛选器列表中点击添加,出现如图1所示的窗口。点击该窗口中的添加,我们将在此定义筛选的协议和端口。源地址处选择“任何IP地址”,目标地址选“我的IP地址”;协议即TCP协议,端口则设置“从任意端口到此端口(3389)”(见图1)。

加密:切换到“筛选器操作”标签,去除“使用添加向导”,并点击“添加”。在“属性”窗口中,直接点击“添加”,在“安全方法”选项里选择“完整性和加密”即可,对加密的设置就完成了。另外,在这步的常规选项卡中,可以为你的加密操作取一个名字。

身份验证:完成筛选器和加密的配置之后,就是对“身份验证方法”方法的配置。切换到该标签,其中已经默认了Kerberos这种验证方式,不过,该方式只能用在域环境里,如果连接两端有一边没有加入域,这个方式就无效。因此,选取Kerberos后点击“编辑”,将身份验证方法改成“预共享密钥”这种更通用的方式,并在下方的对话框中输入密码(PS:预共享密钥的字符串不能全为数字,最好是字母加符号,如cfan%)。

完成了对以上三要素的设置之后,勾选上刚配置的安全规则前的复选框,将其启用。这时又回到了控制台,在控制台的主窗口中右击新建的安全策略,选择“分配”。

这时再来用远程桌面连接来试一下,连不上了?哈哈,这是一个喜讯,说明刚刚配置的IPsec起作用了!依葫芦画瓢,按上面的方法对客户端机器也进行IPsec设置:选择和被连端一样的加密方式、身份验证方式、密码……把它启用就OK了。不过在筛选客户端的IP地址时,要注意变通一下(见图2)。

经过诸多折腾,远程桌面真的变得安全了吗……抓一些数据包看看,让人心烦的乱码此刻显得格外美丽(见图3)。

第二步:简单的操作――修改默认端口

用IPsec调教出来的远程桌面固然安全,但配置起来又过于麻烦。如果把远程桌面连接的默认端口改了……谁又会知道呢?不也一样安全吗!

修改注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]及[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp],将这两处PortNumber的数值数据都显示成十进制,然后将其改成任意一个未占用的端口号,比如将原来的3389改成2010即可。

最难满足的是人的欲望,也正是这种贪婪,才推动着技术的发展。现在的远程桌面是安全了……

1.让“远程桌面”支持多用户

众所周知,使用远程桌面时,当前用户却是要踢出来的。要剔掉这颗小刺,就要用到“Windows 7远程桌面多用户补丁”了(下载地址:/cfan/201016/Win7dyh.rar)。其实这个“补丁”是民间DIY出来的……

将system32目录下的termsrv.dll替换为双用户可同时连接的动态连接库。以管理员身份运行其中的install.cmd,你的Windows 7也能像服务器那样―多用户可同时使用了!

2.内网怎么玩“远程桌面”

以常见的TP-Link路由器为例,讲解如何对家用路由器做端口映射(其他品牌方法相似):

在被连接电脑上查看当前IP;打开路由器的配置页面,在“转发规则虚拟服务器”右边的窗口中点击“添加新条目”;在“服务端口号”后面输入3389,“IP地址”中输入第一步中查看到的IP地址,“协议”处选择下拉菜单中的TCP,其余保持默认即可(见图4)。

3.把“远程桌面”请进虚拟机

虚拟机的好处就不用笔者在这里赘述了,搭建在宿主机上的VMware,同样也是处在内网环境。想要把远程桌面请到这个特殊的环境里……做个端口映射是少不了的,这种方式在今年第9期上《三招让你的虚拟机水平与众不同》中介绍过。但省事的莫过于现成的―Remote Display。

在VMware工具栏中,选择“VMSettingOptionsRemote Display”。勾选右侧的复选框,虚拟机的远程桌面就开启了,端口默认5900(见图5)。

因为VMware中没有提供连接工具,需要用VNC Viewer进行连接(下载地址:/cfan/201016/VNC.rar)。当安装VNC到选择安装组件时,可以取消掉VNC Server前的勾,只安装VNC Viewr即可。在VNC Viewer中按“服务器IP:5900”的格式输入,其他设置保持默认,确定后就能连接上了。