如何利用IPSec保证远程桌面的安全性!(上).docVIP

如何利用IPSec保证远程桌面的安全性！（上） 对于远程桌面的使用，我想各位都已经很熟悉了吧？！还是来大致介绍一下吧，在企业里，网络管理员管理服务器的方法之一就是在自己的机器上，以远程桌面的形式登录到服务器上，如DC，完成服务器的管理，众所周知，我们要完成这个操作，需要在服务器上启用“远程桌面”功能，然后客户端利用“远程桌面连接”工具来完成连接。我们今天的网络拓朴如下：一、简单的实现1.在服务器N1上，右击桌面上的“我的电脑”---属性，选择“远程”，在下面的远程桌面下，打勾。但要注意服务器启用后，便会开启3389这个端口进行侦听，客户端若能访问，必须满足两个条件：a.该用户加入到Remote Desktop Users组中，并且该用户的密码不能为空。b.这台服务器的3389端口必须能接受远程用户的访问。即如果本机有防火墙，必须要求防火墙开放3389端口。对于第一条，你可以通过单击下面的“选择远程用户”来添加，如添加alice域用户。注意：对于DC，你这样添加后，该用户还不能远程来连接这台服务器（默认下，管理员可以），你还必须修改“默认的域控制器的安全设置”。操作：打开开始菜单--程序--管理工具--默认的域控制器的安全设置，如下图所示，在对应项里如下操作： 最后通过gpupdate /force来刷新这台服务器的组策略使之生效。查看一下，这台服务器的端口侦听情况如下：其中上面这条表示这台服务器在3389端口Listening，而下面这条表示当前这台机器已经连接到了这台服务器的3389端口。2.客户端使用mstsc /v:n1可以完成连接，要求输入相应的用户名和密码，验证通过登录成功。二、实现安全的远程桌面连接 通过前面的实例我们已经实现了远程桌面的连接，可以用来管理服务器了，各位试想，他人只要用相应的扫描端口的软件就能知道你的机器开启了那些端口，这样一来，也就知道了你的机器开启的远程桌面功能，再使用相应的方法获取你的管理员的密码，也就可以对你的机器进行远程桌面的连接了，怎么可以实现安全的连接呢？我们从以下两点出发：（一）将3389的端口改掉，如6689.（二）对通信过程进行加密，即使你用相应的抓包工具也无济于事。（三）对远程桌面连接用户及客户机进行特殊的身份验证，即只有通过该身份验证才可以进行连接。对于后两者，今天我们使用IPSec来实现。有关IPSec的详细介绍各位可以参看凌激冰的HYPERLINK /418026/123652利用IPSec使用策略和规则提升网络安全性，写的不错！！怎么来实现呢？好，我们马上操作一把~~~（一）改端口：简单操作步骤：打开开始→运行，输入regedit，打开注册表，进入以下路径：[HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\Terminal Server\ Wds\rdpwd\Tds\tcp]，看见PortNamber值了吗？其默认值是3389（改为十进制显示），修改成所希望的端口，例6689。再打开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentContro1Set\Control\Tenninal Server\WinStations\RDP-Tcp]，将PortNumber的值（默认是3389）修改成端口6689关闭注册表编辑器后重启计算机，即可生效。通过如下命令再次查看：会发现在6689侦听，同时有一个客户端已经连接上来了。客户端连接时可利用命令：mstsc /v:n1:6689如果使用mstsc /v:n1，如出现如下提示：（二）对通信过程进行加密（三）对用户或计算机进行身份验证 这两个我们一起完成！！  使用IPSec时各位需要注意，多数情况下我们需要在两边都要做，在我们这个案例中，要求两边所选择的加密方式和身份验证要一致。具体操作如下所示：1.服务器端配置IPSec：开始菜单---运行---mmc，然后添加“IP安全策略管理”控制台组件。如上图，单击添加后，如下所示：选择本地计算机，单击完成，关于其它对话框，最后如下：在这里，我们新建IP安全策略，如下：取一个名字，sec mstsc。单击下一步，不选择“激活默认响应规则”，下一步，到一个页面，单击完成，同时打开编辑页面：在这里各位可以看到，任何一条IPSec策略，可以包含多条规则，你可以单击添加，添加多条规则。此时单击添加，如下所示：在这里我们看到任何一条规则包含三要素：筛选器、筛选器操作、身份验证方法。我们创建我们自己那条规则，也是我们的第一条规则。当然要依次定义这三个要素，当定义完了