控制vista遠(yuǎn)程桌面詳細(xì)圖解.doc

此文檔收集于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系網(wǎng)站刪除天馬行空官方博客：/tmxk_docin ；QQ:1318241189；QQ群：175569632我能控制你 Vista遠(yuǎn)程桌面詳細(xì)圖解Windows遠(yuǎn)程桌面協(xié)議（RDP）一直以來在安全方面都沒能獲得最好的聲譽(yù)。但自從FIPS（聯(lián)邦信息處理標(biāo)準(zhǔn)）的安全等級被添加到Windows Server 2003 SP1中，Windows遠(yuǎn)程桌面的安全性就得到了顯著的提高。下面的步驟就是教你無論在任何時候使用Windows XP或Vista的客戶端連接到一臺Windows Vista的計(jì)算機(jī)時，如何實(shí)施FIPS級別的安全性能的方法。 過去，Windows RDP總是由于它的安全性而遭到一些非議。但自從Windows Server 2003 SP1以來，其安全性較之過去就有了顯著的提高。而現(xiàn)在，這種提高了的RDP技術(shù)也被添加到了Windows Vista中，它能夠很好地走進(jìn)每個家庭用戶。下面我們就一起來看看如果你使用一臺Windows XP或Vista的計(jì)算機(jī)做客戶端，要如何安全地遠(yuǎn)程連接到一臺Windows Vista的計(jì)算機(jī)上。軟件要求RDP服務(wù)器（主機(jī)）RDP客戶端計(jì)算機(jī)Windows Server 2003 SP1及其以上 Windows Vista的任何版本 Windows Vista Business版本 Windows XP以及RDP 6.0客戶端 Windows Vista Ultimate版本 Windows Server 2003以及RDP 6.0 安全配置Vista的RDP主機(jī)首先你需要做的事就是通過運(yùn)行g(shù)pedit.msc來編輯組策略對象，如圖1所示。圖1打開了組策略對象編輯器之后，找到“計(jì)算機(jī)設(shè)置管理模板Windows組件終端服務(wù)終端服務(wù)器安全”，如圖2所示。 圖2 （點(diǎn)擊看大圖）接下來，設(shè)置“客戶端連接加密級別”，如圖3所示。 圖3如圖4所示，設(shè)置“要求安全的RPC”通信。 圖4如圖5所示，設(shè)置“遠(yuǎn)程（RDP）連接要求使用指定的安全層”為SSL (TLS 1.0)。 圖5現(xiàn)在，你必須找到組策略對象中的另一個部分，它處在“計(jì)算機(jī)配置Windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)”，如圖6所示。 圖6 （點(diǎn)擊看大圖）啟用FIPS模式，如圖7所示。 圖7在“系統(tǒng)屬性”窗口中，啟用遠(yuǎn)程桌面，如圖8所示。要注意的是，你設(shè)置它是允許任何RDP 6.0的客戶端，而不是僅限于允許Vista的客戶端。 圖8在所有的這些都配置好之后，你必須更新組策略，這樣才能在不重啟計(jì)算機(jī)的情況下實(shí)施新的設(shè)置。要做到這個你需要是用一個強(qiáng)制的GPUpdate，如圖9所示。 圖9圖10表示已經(jīng)成功更新。 圖10安全地配置RDP 6.0客戶端現(xiàn)在，是時候使用MSTSC命令打開RDP客戶端的時候了，如圖11所示。Windows 2003和XP用戶必須下載安裝RDP 6.0客戶端，而Vista則已經(jīng)具備了正確的客戶端。在XP上，你還需要在你運(yùn)行MSTSC命令之前打開“運(yùn)行”。 圖11輸入服務(wù)器的名字，要注意到這個初始過程應(yīng)該是發(fā)生在LAN上的。例如，我們要進(jìn)入一臺名叫“jim-PC”RDP主機(jī)，如圖12所示。這并不是一個完全合格的名稱，因此目前它只能在同一個子網(wǎng)的LAN上工作。在此，可以將一個重新定向的條目輸入到指向一個IP或動態(tài)DNS地址的主機(jī)文件中，這樣你就能夠訪問“jim-PC”或任何你的機(jī)器在互聯(lián)網(wǎng)上的名稱。但現(xiàn)在，我們僅僅是先談一下快速局域網(wǎng)。 圖12接下來，你必須展開“選項(xiàng)”，如圖13所示。 圖13在如圖14所示的“顯示”選項(xiàng)卡中，設(shè)置你喜歡的顯示選項(xiàng)。圖14如圖15所示，在“本地資源”選項(xiàng)卡中，你可以設(shè)定你想要的聲音、打印機(jī)或者是剪貼板的工作。 圖15在“程序”選項(xiàng)卡中，你可以設(shè)定任何你想要在連接時自動啟動的程序。 圖16現(xiàn)在，你可以在“經(jīng)驗(yàn)”選項(xiàng)卡中設(shè)置你想要遠(yuǎn)程桌面看起來是什么樣子。你所添加的特性越多，所占用的帶寬也越多。 圖17在“高級”選項(xiàng)卡中，你可以設(shè)置RDP客戶端在身份驗(yàn)證失敗時向你發(fā)出警告以證明它的真實(shí)性。這樣做可以在有黑客侵入你的連接時，你不致將用戶證書拱手奉上。 圖18點(diǎn)擊“設(shè)置”，你就可以配置如圖19所示的選項(xiàng)。在此，我們的設(shè)置是選擇“不使用TS網(wǎng)關(guān)服務(wù)器”。 圖19在你點(diǎn)擊確定之后，請確保你返回到“常規(guī)”選項(xiàng)卡中，并點(diǎn)擊“另存為”來保存你的登錄設(shè)置文件。否則，在下一次，你還必須將以上的過程重復(fù)一遍。你可以將文件保存在桌面上以便更容易地訪問到?，F(xiàn)在，點(diǎn)擊“連接”，你就會被提示輸入用戶名和密碼。 圖20第一次連接的時候，你會被警示說這個服務(wù)器目前還是不可信任的。要改變這個情況，并使它能夠受信，可以點(diǎn)擊查看證書按鈕。 正如你在圖21中所看到的那樣，Vista RDP主機(jī)簽發(fā)的證書的有效期是六個月。點(diǎn)擊“安裝證書”按鈕，將其添加到CTL中。 圖21這時，證書導(dǎo)入向?qū)淮蜷_，點(diǎn)擊“下一步”。 圖22選擇“將所有證書放入下列存儲”，并點(diǎn)擊“瀏覽”按鈕，如圖23所示。 圖23將“顯示物理存儲區(qū)”前的鉤選框打鉤，并選中“本地計(jì)算機(jī)”。 圖24回到證書存儲屏幕，如圖25所示，點(diǎn)擊“下一步”。 圖25要完成導(dǎo)入過程，只需要點(diǎn)擊“完成”按鈕，如圖26所示。 圖26接著你會看到導(dǎo)入成功的提示，點(diǎn)擊“確定”即可。 圖27現(xiàn)在，你將能夠安全地連接到Vista的RDP主機(jī)，但更重要的是，以后連接到j(luò)im-PC都不會出現(xiàn)任何的警示標(biāo)志甚至是密碼提示。它只會以安全的方式進(jìn)行連接，而任何警示標(biāo)志都一定會引起你以鑒定的眼光去查看。當(dāng)你嘗試通過IP地址或公共互聯(lián)網(wǎng)上的動態(tài)DNS條目連接到這個主機(jī)上時會發(fā)生什么呢？如果你嘗試連接的主機(jī)名不是你之前所生成的證書的名稱，這時你就會看到一個警示，但你可以設(shè)定它總是連接，只需要設(shè)定它在下一次連接到這臺計(jì)算機(jī)時不再提示即可。但僅僅這么做還是不夠的，接著你就會看到又出現(xiàn)的警示中會告訴你名稱不匹配，證書上的服務(wù)器名也是有錯誤的。但這并不是件糟糕的事，你可以查看這個證書，它會告訴你是為“jim-PC”而設(shè)的，且是可以信任的。你看到這個警示僅僅是因?yàn)镽DP客戶端會將你所連接的計(jì)算機(jī)與證書上的計(jì)算機(jī)的名字進(jìn)行比照。如果我選用ip地址來進(jìn)行連接，那么它就會提示我與jim-PC是不匹配的。由于我是通過IP地址或是互聯(lián)網(wǎng)上公共解析的DNS名來進(jìn)行連接，而證書目前還是有效的，因此我知道我并沒有受到欺騙。此時我可以放心地選擇“確定”使它在任何時候都能夠進(jìn)行連接。為了避免將來再出現(xiàn)這樣的錯誤，我需要編輯我的本地主機(jī)文件，將IP或DNS名稱描繪為“jim-PC”。但是，如果有黑客傳遞給你偽造的證書那應(yīng)該怎么辦呢？如果是這樣的話，你不僅會被盡是名稱不匹配，證書也會被告知不是來自可信任的地方。這樣的話，你就應(yīng)該檢查你的證書安裝過程，警惕有些攻擊者可能在試圖欺騙你。此時你應(yīng)該選擇不去連接到服務(wù)器。如果你仍然選擇總是連接，你就像黑客暴露了你的證書，他們很快就會對你進(jìn)行詞典式攻擊而竊取你的密碼。這一切看起來似乎是個有些復(fù)雜的過程，只是為了在進(jìn)行一次RDP連接時不出現(xiàn)任何警示，但這是一個有效的方法能夠進(jìn)行安全并且可信任的遠(yuǎn)程連接。幸運(yùn)的是，你只需要做這些事情一次，之后的連接就能保證安全且沒任何麻煩。無論你是否相信，你實(shí)