深挖Vista,享受远程管理新精彩

伴随着局域网中使用Windows vista系统的计算机越来越多，使用该系统中的远程桌面功能来进行远程管理操作也变得越来越频繁；由于Windows Vista系统是一个全新的工作环境，在该工作环境下的远程桌面操作自然也与以前有点不同。为了帮助各位朋友提高远程管理效率，本文现在就对Windows Vista系统的远程桌面功能进行深入挖掘，希望各位朋友能从中享受远程桌面的新精彩！

1、让远程桌面进行安全验证

尽管远程桌面功能并不是Windows Vista系统所特有，不过新系统环境下的远程桌面功能有着与众不同的新“本领”，特别是在安全方面进行了明显强化。我们可以在启用远程桌面的时候，让系统强行对远程桌面连接进行安全验证；在Windows Vista系统环境下启用、配置远程桌面功能时，我们可以按照如下步骤来进行：

首先以系统管理员权限登录进入Windows Vista系统，依次单击该系统桌面中的“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中再依次点选“系统和维护”、“系统”图标；

在其后界面的左侧任务列表中单击“远程设置”，打开远程设置标签页面，在该页面的“远程桌面”设置项处，我们会看到对应系统提供了三个功能选项，要是我们希望局域网中的所有计算机都能通过远程桌面功能与Windows Vista系统建立远程连接时，那必须选中这里的“允许运行任意版本远程桌面的计算机连接”选项参数（如图1所示），不过这种设置往往会影响Windows Vista系统自身的安全。

为了保证远程桌面连接的安全性，Windows Vista系统特意新增加了“只允许运行带网络级身份验证的远程桌面的计算机连接”功能选项，我们可以选中该选项，来强制系统对远程连接操作进行网络级身份验证操作，那样一来我们日后就能安全地使用远程桌面连接了。

2、对远程桌面进行远程启动

当我们尝试通过远程桌面功能来对Windows Vista系统进行远程管理时，时常会遇到无法与对应系统建立连接的故障现象，在对各种故障原因进行排查后，我们发现Windows Vista系统在被一些专业工具优化之后，原先启用正常的远程桌面连接功能竟然被莫名其妙地停止启用了，如此说来，我们只有跑到Windows Vista系统故障现场才能将远程桌面功能启用起来吗？答案是否定的！只要我们能够Ping通Windows Vista系统，就能对该系统中的远程桌面功能进行远程启动，下面就是具体的操作步骤：

首先从局域网中选择一台能够正常Ping通Windows Vista系统的普通计算机作为远程连接终端，依次单击该系统桌面中的“开始”/“运行”命令，打开对应系统的运行文本框，在其中输入“mmc”字符串命令，单击回车键后，打开本地计算机的系统控制台界面；

其次在该控制台界面中单击菜单栏中的“文件”选项，点选下拉菜单中的“添加/删除管理单元”选项，打开添加/删除管理单元设置对话框，从该对话框的可用管理单元列表中选择“服务”选项，同时单击中间区域的“添加”按钮，进入如图2所示的设置窗口；

接着从该设置窗口中选中“另一台计算机”选项，同时在对应该选项后面的文本框中输入Windows Vista系统所在主机的IP地址或者计算机名称，再依次单击“完成”按钮、“确定”按钮，此时我们就可以在本地看到Windows Vista系统中的服务列表了，选择服务列表中的“Terminal services”项目，并用鼠标双击该服务项目，打开“Terminal services”服务的属性设置窗口，先单击该设置窗口中的“启动”按钮来将Windows Vista系统的“Terminal services”服务重新启动起来，之后再将该服务修改成“自动”启动类型，那样的话Windows Vista系统中的远程桌面功能又会被重新激活，此时我们就能重新与该系统成功建立远程桌面连接了。

3、对远程桌面进行使用授权

一旦启用了Windows Vista系统的远程桌面功能后，对应系统好像就被打开了一扇后门，合法用户可以进来，非法用户同样也可以进来，那样一来Windows Vista系统的运行就会受到很大的安全挑战。为了只能让合法用户通过远程桌面连接进入Windows Vista系统，我们需要对用户的使用进行授权限制，下面就是具体的授权操作步骤：

首先以系统管理员权限登录进入Windows Vista系统，依次单击该系统桌面中的“开始”/“设置”/“控制面板”命令，在弹出的系统控制面板窗口中再依次点选“系统和维护”、“系统”图标；

在其后界面的左侧任务列表中单击“远程设置”，并在远程设置标签页面中单击“远程桌面”处的“选择用户”按钮，打开如图3所示的设置对话框，在该对话框中将一些陌生的用户账号全部删除，然后单击其中的“添加”按钮，打开用户账号选择对话框，从中将我们需要授权的目标用户账号选中添加进来，最后单击“确定”按钮，如此一来没有授权的用户日后就不能通过远程桌面连接访问Windows Vista系统了。

当然，在这里需要提醒各位注意的是，我们最好不要轻易对组用户账号进行授权，而应该依照工作需要对具体的某个用户账号进行授权。此外，我们也不能为了图方便，直接对Administrators账号进行授权，这是非常不安全的，因为一旦非法攻击者远程获得了对应系统的一个shell，那么它只要想办法在Windows Vista系统中随意创建一个属于管理员组级别的用户账号，就能轻易通过远程桌面登录Windows Vista系统了，并对该系统进行全面控制了。

4、巧用防火墙控制远程桌面

我们知道，Windows Vista系统的内置防火墙有着非常强大的功能，这不，利用防火墙我们可以随心所欲地控制远程桌面功能。例如，我们只希望IP地址为的192.168.1.10普通计算机，能够通过远程桌面功能连接访问域中的Windows Vista系统时，就可以通过设置对应系统中有关防火墙的组策略参数来达到上述控制目的，下面就是具体的设置步骤：

首先以系统管理员权限登录进入Windows Vista系统，依次单击该系统桌面中的“开始”、“运行”命令，在弹出的系统运行文本框中，输入字符串命令“gpedit.msc”，单击“确定”按钮，打开对应系统的组策略编辑窗口；

其次在组策略编辑窗口的左侧子窗格中，依次点选其中的“本地计算机策略”/“计算机配置”/“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“域配置文件”选项，在对应“域配置文件”选项的右侧子窗格中，用鼠标右键单击“Windows防火墙：允许入站远程管理例外”选项，从弹出的快捷菜单中执行“属性”命令，打开如图4所示的目标组策略属性设置窗口；

接着选中该设置窗口中的“已启用”选项，同时在“允许来自这些IP地址的未经请求的传入消息”文本框中输入“192.168.1.10”，再单击“确定”按钮保存好上述设置操作，如此一来日后局域网中IP地址为的192.168.1.10普通计算机，能够通过远程桌面功能连接访问域中的Windows Vista系统了。

当然，要是我们想临时禁止局域网中的所有普通计算机通过远程桌面连接访问Windows Vista系统时，也可以直接进入系统自带防火墙的基本配置窗口，来限制Windows Vista系统中的远程桌面功能接受网络连接请求；在进行这种限制操作时，我们可以在Windows Vista系统桌面中依次点选“开始”、“设置”、“控制面板”命令，之后双击控制面板窗口中的Windows防火墙图标，再单击其后界面中的“启用或关闭Windows防火墙”选项，打开Windows Vista系统的防火墙基本配置界面；

下面点选“例外”标签，检查对应标签页面中的“远程桌面”选项有没有被选中，要是发现该选项已经处于选中状态时，那就意味Windows Vista系统内置防火墙没有限制远程桌面连接功能，此时我们可以取消选中“远程桌面”选项，再单击“确定”按钮结束设置操作，那样的话局域网中的任何一台普通计算机都不能与Windows Vista系统建立远程桌面连接了。

5、让远程桌面端口不为人知

无论是哪个操作系统，在默认状态下远程桌面连接功能使用的端口号码都为3389，Windows Vista系统当然也不例外，因此非法攻击者常常会尝试通过该端口号码进行恶意连接。为了保证远程桌面连接操作的安全性，我们必须在开启远程桌面连接功能后，立即修改该功能的连接端口号码，并且确保新的端口号码不容易被他人猜到。在修改Windows Vista系统的远程桌面连接端口号码时（假设将新端口号码修改为“8866”），我们可以按照下面的操作来进行：

首先依次单击Windows Vista系统桌面中的“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“regedit”，单击“确定”按钮后，打开对应系统的注册表编辑窗口；

其次在目标窗口左侧显示区域逐一单击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp分支选项（要是找不到时可以自行创建），在对应tcp分支选项的右侧显示区域中，用鼠标右键单击空白位置，从弹出的快捷菜单中依次单击“新建”/“Dword值（32-位）值”命令，来手工创建一个PortNumber的双字节值，用鼠标双击该键值，打开如图5所示的设置对话框，选中“十进制”选项，再在对应的“数值数据”文本框中输入“8866”，并单击“确定”按钮保存设置操作；

按照同样的操作步骤，再在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp分支选项下面创建好PortNumber键值，同时将该键值的数值也修改为“8866”，最后刷新一下Windows Vista系统注册表就能使“8866”端口号码生效了。

一旦修改过远程桌面端口号码后，我们日后需要与Windows Vista系统建立远程桌面连接时，必须在远程主机后面添加上新的端口号码，例如Windows Vista系统的主机IP地址为192.168.1.18时，那么通过远程桌面连接该主机时就必须将远程主机设置为“192.168.1.18:8866”，而那些不知道新连接端口号码的任何用户就无法与Windows Vista系统建立远程桌面连接了。

“本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文”