Windows2003远程桌面安全策略设置
虽然Windows的远程桌面使用起来比较方便,但它的安全性和资源占用与SSH相比还有很大的差距。有一些安全策略需要考虑。
1。更改默认端口号
默认情况下,终端服务使用著名的端口号3389。显然,我们都知道这个端口在做什么,因此改变端口号可以避免许多机器扫描。默认端口号可以从终端服务机器修改。如果有防火墙做NAT,它更简单,NAT后的端口号不使用3389。
2。设置复杂密码
现在的GPU的处理能力是非常可怕的,所以密码的位数是不安全的,而12位密码的字母和数字还是基本够用。远程桌面不支持CA证书验证登录,这是不是为SSH.SSH设置为2048位的RSA证书登录为好,禁止密码登录,禁止root登录,很安全。
三.限制登录尝试次数
修改组策略,->窗口;计算机配置->安全设置-> >帐户策略帐户锁定策略,帐户锁定阈值;设置为10,这是10次无效登录的其他IP封锁后,禁止继续尝试登录一个一段时间。Ldquo;帐户锁定时间;它是如何继续尝试登录登录无效后长。重置帐户锁定计数器集;在长时间的重置帐户锁定阈值必须小于或等于帐户锁定时间。
4。禁止管理员用户远程桌面登录
管理员实在是太大声了,可以禁止远程桌面登录,还设置了远程登录管理员帐号来执行任务,这种用户名和密码的组合更为复杂,爆破难度大大增加。
双击Windows计算机配置设置>安全设置>本地策略用户权限分配,通过终端服务,将允许登录管理员帐号删除,管理员帐号可以设置为加入其他帐号。
5。加密远程桌面连接
默认情况下,远程桌面数据链接没有加密,非常危险的木材,很容易与木材监测。2003后,Windows版本可用于加密远程桌面连接使用SSL。