跟其他遠程控制技術(shù)類似，遠程協(xié)助和遠程桌面同樣要在使用前考慮好安全問題。對于最高級別的安全要求，根本不建議在實際應(yīng)用中使用遠程控制技術(shù)，不過要明白這種技術(shù)也能給用戶帶來便利。本章會就使用遠程控制技術(shù)時保證安全性的方法進行說明。

遠程協(xié)助

遠程協(xié)助（RA，Remote Assistance）技術(shù)允許用戶（邀請者）通過網(wǎng)絡(luò)邀請其他人（受邀者）通過完了過解決自己遇到的實際問題。使用這種方法受邀者可以查看邀請者的計算機屏幕并且互交流信息，同時，如果邀請者允許，受邀者還可以通過網(wǎng)絡(luò)操作邀請者的計算機直接解決問題。邀請者可以決定受邀者的權(quán)限到底是僅屏幕查看還是具有控制權(quán)。要使用遠程協(xié)助，雙方都需要使用Windows XP操作系統(tǒng)。

遠程協(xié)助可以由邀請者發(fā)起，這叫請求遠程協(xié)助；同時也可以由受邀者為邀請者提供遠程協(xié)助，這叫提供遠程協(xié)助。HelpAssistant賬戶就是給遠程協(xié)助操作準(zhǔn)備的，這個賬戶是在安裝系統(tǒng)過程中創(chuàng)建的，并被隨意分配一個復(fù)雜的密碼，隨后被禁用。當(dāng)遠程協(xié)助邀請打開時，用戶的電腦上會創(chuàng)建一個“邀請者”的票證，同時3389端口也會打開，并允許到終端服務(wù)的訪問，這時HelpAssistant賬戶會被自動啟用。啟用后受邀者可以使用這個賬戶和創(chuàng)建的票證訪問邀請者的計算機。如果所有的票證都被關(guān)閉或者過期，HelpAssistant賬戶會被再次自動被禁用，3389端口也會同時關(guān)閉。

注意：遠程桌面功能也使用了終端服務(wù)，因此如果遠程桌面功能被啟用后，3389端口可能會一直打開。

請求方式的遠程協(xié)助

用戶可以通過電子郵件或者Windows Messenger請求遠程協(xié)助，或者把遠程協(xié)助的請求保存為一個文件。目前還沒辦法限制初學(xué)者邀請人，任何人只要能物理上連接到初學(xué)者的計算機就可以接受他的邀請。當(dāng)一個遠程協(xié)助請求被答應(yīng)后，初學(xué)者就可以看到專家的用戶名。然而，唯一能確定連接來的用戶是正確用戶的方法是使用密碼。初學(xué)者在創(chuàng)建一個協(xié)助請求時可以選擇用密碼保護這個協(xié)助，密碼并不包含在請求文件中，而且受邀者必須輸入正確的密碼才能建立連接，密碼可以由初學(xué)者通過其他方法發(fā)給受邀者。不過，密碼復(fù)雜性、密碼策略還有賬戶鎖定策略等規(guī)則都不對這個密碼和賬戶生效。

通過Windows Messenger發(fā)送的邀請是通過明文的方式以XML格式發(fā)送的，通過email形式發(fā)送或者保存的邀請文件是以MsRcIncident格式的文件發(fā)送的，這也是一種明文的XML格式。因此任何人只要能接觸到這些數(shù)據(jù)就都能讀出其中的內(nèi)容，例如機器的IP地址、所使用的端口號以及邀請者是否設(shè)置了密碼保護。

基于這些原因，對于安全要求比較嚴格的網(wǎng)絡(luò)中，不建議使用遠程協(xié)助。　提供方式遠程協(xié)助

提供遠程協(xié)助通常被認為是對邀請者提供遠程協(xié)助更加安全的做法。提供遠程協(xié)助僅適用于位于同一個域中或者被信任的域中的兩臺計算機之間，并且通過設(shè)置允許用戶提供遠程協(xié)助。當(dāng)使用這個功能時，專家不能在沒有聲明的情況下連接到用戶的計算機，或者在沒有從用戶處獲得權(quán)限的情況下控制計算機。同時用戶也有允許或者拒絕對方連接的能力。

要使用這種方式的遠程協(xié)助，安全配置模板的用戶權(quán)限部分必須做如下修改：

用戶權(quán)限建議設(shè)置允許通過終端服務(wù)登錄決定哪些用戶或者用戶組具有作為終端服務(wù)客戶端登錄的能力，遠程桌面用戶需要這個權(quán)限。如果同時還使用了遠程協(xié)助功能，應(yīng)只有使用該功能的管理員具有這個權(quán)限。注意：如果要使用提供方式的遠程協(xié)助，則不用往該設(shè)置中添加任何用戶或者用戶組。<無人> 拒絕通過終端服務(wù)登錄決定哪些用戶或者用戶組被禁止作為終端服務(wù)客戶端登錄，這個權(quán)限是為遠程桌面用戶使用的。<無人>

除此之外，為了允許用戶使用提供方式的遠程協(xié)助，還需要設(shè)置以下幾個組策略：在MMC的組策略組件中打開GPO或者通過容器的屬性-組策略選項卡訪問GPO的鏈接如果是通過組策略選項卡訪問，高亮選擇目標(biāo)GPO然后點擊編輯以訪問組策略組件定位到計算機配置管理模板系統(tǒng)遠程協(xié)助節(jié)點雙擊右側(cè)面版的請求遠程協(xié)助點擊已啟用按鈕，以允許用戶請求遠程協(xié)助從下拉菜單中選擇“只允許幫助者查看此計算機”選項設(shè)置最長票證時間（值）為0以及最長票證時間（單位）為分鐘

應(yīng)用設(shè)置，關(guān)閉對話框

注意：為了使用提供方式的遠程協(xié)助，其用請求遠程協(xié)助策略是必要的，然而，設(shè)置最長票證時間為0可以防止用戶使用請求遠程協(xié)助功能。

雙擊右側(cè)面版的提供遠程協(xié)助功能

如果你打算允許專家在這臺計算機上提供遠程協(xié)助，點擊啟用按鈕

在下拉菜單中選擇“僅允許幫助者查看此計算機”

警告：建議你永遠不要允許用戶給與其他人遠程控制計算機的權(quán)限，盡管用戶可以看到對方的操作以及隨時可以收回控制權(quán)，因為要破壞一個系統(tǒng)治需要幾秒鐘就夠了。

點擊幫助者：顯示…按鈕并且把所有被允許對這臺計算機提供遠程協(xié)助的用戶全部添加近來，例如有管理員，以及桌面幫助人員等。建議限制本功能僅對確實需要的用戶開放。用戶可以以以下的格式顯示： <域名><用戶名>或<域名><組名>

遠程桌面連接

遠程桌面（RD，Remote Desktop）是用在Windows XP Professional上的另一種優(yōu)先功能的終端服務(wù)，它允許用戶從遠程連接到本機，并且像直接使用那樣使用本機的各種資源。Windows XP Professional系統(tǒng)中默認情況下遠程桌面功能是被禁用的。

遠程桌面連接是使用遠程桌面客戶端軟件進行的，XP系統(tǒng)中已經(jīng)默認安裝了該軟件，并且Microsoft Windows 2000、NT、Windows 98和Windows 95的客戶端軟件也已經(jīng)包含在了Windows XP中。遠程桌面還有一個基于ActiveX的客戶端，叫做RWDC（Remote Desktop Web Connection），可以被安裝到IIS服務(wù)器上。使用RDWC，任何計算機都可以通過使用支持ActiveX的瀏覽器連接到適當(dāng)?shù)木W(wǎng)頁，下載ActiveX客戶端，然后打開遠程桌面連接。當(dāng)向XP Professional系統(tǒng)安裝IIS時，RWDC會被默認安裝。

當(dāng)遠程桌面被啟用后，3389端口被打開以接受終端服務(wù)的訪問。所有的管理員（本機的和域中的）以及在“遠程桌面用戶”中被列出的用戶和用戶組都可以遠程訪問該計算機。當(dāng)連接被啟用后，被連接的計算機將會被自動鎖定，如果目標(biāo)計算機上已經(jīng)有用戶登錄，遠程的用戶將會看到一個選項，可以把目標(biāo)計算機上本地登錄的用戶注銷，然后從遠程登錄上去，但這需要遠程用戶已經(jīng)被成功驗證，并且需要具有管理員權(quán)限。 遠程桌面使用標(biāo)準(zhǔn)的Windows驗證機制，因此密碼策略和賬戶鎖定策略也可以被應(yīng)用到遠程桌面，所有用于遠程桌面的賬戶都必須設(shè)置有密碼。

注意：建議在使用遠程桌面的過程中鎖定默認的administrator賬戶并禁止該賬戶從遠程登錄，不過本地登錄是不受此限制的。

要使用遠程桌面功能，安全模板中的用戶權(quán)限部分必須做如下改變：

用戶權(quán)限建議設(shè)置允許通過終端服務(wù)登錄決定哪些用戶或者用戶組具有通過終端服務(wù)客戶端登錄的權(quán)限，遠程桌面用戶需要該權(quán)限，如果同時使用了遠程協(xié)助功能，應(yīng)只有使用此功能的管理員具有該權(quán)限。Administrators、Remote Desktop Users拒絕通過終端服務(wù)登錄決定哪些用戶或者用戶組沒有通過終端服務(wù)客戶端登錄的權(quán)限，該權(quán)限是為遠程桌面用戶準(zhǔn)備的。<無人>

要允許計算機接受遠程桌面連接，可以采取以下操作：

在我的電腦上點擊鼠標(biāo)右鍵，并選擇屬性以打開系統(tǒng)屬性對話框

在對話框中打開遠程選項卡

選中允許用戶遠程連接到這臺計算機復(fù)選框

點擊選擇遠程用戶…按鈕打開遠程桌面用戶對話框

本局本地策略的定義添加相應(yīng)的用戶或者用戶組

注意：該操作會把被選中的用戶和用戶組添加到本地Remote Desktop Users用戶組中，可以通過本地計算機管理工具直接對加入該組的用戶和用戶組進行編輯。

組策略-管理模板

Terminal Services

除了上面指出的一些設(shè)置之外，還建議對終端服務(wù)進行如下設(shè)置，并同樣作為GPO的一部分或者通過本地計算機配置應(yīng)用到計算機上。

這些對終端服務(wù)的建議設(shè)置都位于GPO的計算機配置管理模板Windows組件終端服務(wù)節(jié)點下，并可以通過MMC的組策略組件訪問。終端服務(wù)設(shè)置同樣可以在用戶設(shè)置節(jié)點下找到，不過那里的設(shè)置會被計算機配置下的設(shè)置覆蓋。

表16 終端服務(wù)策略選項

網(wǎng)絡(luò)配置建議

遠程協(xié)助和遠程桌面都使用了終端服務(wù)使得用戶可以遠程訪問本地計算機，在Windows XP系統(tǒng)中使用這些功能時，終端服務(wù)使用了3389端口。強烈建議通過設(shè)置僅允許本地局域網(wǎng)使用遠程連接功能，并且在對外防火墻或者路由器上封掉3389端口。在該端口上所有的入站和出站連接都必須被阻止以禁止非法訪問。如果僅阻止了入站連接，遠程協(xié)助功能還是有可能通過Windows Messenger與局域網(wǎng)外部使用，因此雙向的通訊都要被阻止。

如果需要從本地局域網(wǎng)那個外使用遠程協(xié)助或遠程桌面連接，建議在防火墻或者路由器上設(shè)置過濾，以確保只有特定的IP地址可以當(dāng)問到局域網(wǎng)內(nèi)的系統(tǒng)。其他所有地址到3389端口的訪問都應(yīng)當(dāng)被禁止。如果需要更高安全級別的保護，可以安裝一個VPN服務(wù)器，并使用非常強的驗證方式使得少數(shù)用戶可以撥入到VPN服務(wù)器。當(dāng)然僅允許特定的IP地址可以連接到VPN服務(wù)器也是個好方法。