遠程控制專題問答

在利用遠程桌面連接進行遠程控制操作時，如果連接密碼設置得不夠復雜，那么非法用戶就可能會通過暴力破解方式竊取登錄密碼，請問如何強制用戶為遠程桌面控制連接設置比較復雜的密碼？

答：可以啟用密碼策略強制用戶為遠程桌面連接設置復雜密碼。例如，在啟用Windows 7系統的密碼策略時，可以先打開該系統的運行文本框，執行“gpedit.msc”命令，切換到系統組策略編輯窗口，在該窗口的左側位置處依次展開“計算機配置”、“Windows 設置”、“安全設置”、“賬戶策略”、“密碼策略”分支，在該分支下有六個有關密碼的設置策略選項，用鼠標雙擊“密碼必須符合復雜性要求”選項，打開目標組策略屬性設置窗口；選中“已啟用”選項，再按“確定”按鈕，這樣Windows 7系統的遠程桌面連接密碼設置得不夠復雜時，系統就會自動彈出相關提示。同樣，可以根據實際需求，依次對“密碼最長使用期限”、“密碼長度最小值”、“強制密碼歷史”、“密碼最短使用期限”等策略進行設置，最后按“確定”按鈕執行設置保存操作，這么一來遠程桌面連接密碼就會被強行設置得復雜了。

某人在一臺安裝了Windows XP系統的終端計算機中，準備使用遠程桌面連接程序，遠程控制保存有共享資源的Windows 7系統時，發現登錄賬號、密碼都正確，就是不能登錄成功，不知道是什么原因？

答：這種問題在舊版本系統登錄Vista以上版本系統時經常出現，原因主要是新版本系統新增加了網絡級身份驗證功能，該功能禁止存在許多安全漏洞的低版本系統隨意進行遠程桌面連接操作。要想解決上述問題，可以臨時關閉Windows 7系統的網絡級身份驗證功能，在進行關閉操作時，可以先右擊Windows 7系統桌面上的“計算機”圖標，點選右鍵菜單中的“屬性”命令，切換到Windows 7系統的屬性對話框，單擊該對話框左側的“遠程設置”按鈕，打開遠程設置界面，在這里Windows 7系統為用戶提供了三個功能選項，來保護遠程桌面連接安全性；我們只要選中“允許運行任意版本遠程桌面的計算機連接(較不安全)”選項，再按“確定”按鈕，就能在Windows XP系統中遠程桌面連接Windows 7系統了。

某用戶準備對單位的服務器系統進行遠程控制，當他使用本地系統的遠程桌面功能，與服務器主機建立遠程控制連接時，發現系統“開始”菜單中的遠程桌面連接命令丟失了，請問為什么會找不到該命令呢，又該如何才能恢復該命令的正常使用狀態呢？

答：找不到遠程桌面連接命令，或許是與該命令有關的系統服務停止或相關文件損壞引起的，此時不妨打開系統運行框，執行“services.msc”命令，從系統服務列表中雙 擊“Terminal Services”選項，切換到該服務的選項設置界面，點選“常規”選項卡，在對應選項設置頁面中檢查“Terminal Services” 服務的運行狀態正常不正常，一旦發現其不正常時，單擊“啟動”按鈕重新啟用它，說不定就能解決上述問題了。當然，要 是“Terminal Services”服務正常，遠程桌面連接命令還無法找到的話，那多半是系統中相關的文件受到了損壞，這時可以切換到系統DOS命令行窗口，執行“regsvr32 remotepg.dll”命令，來將遠程桌面系統文件重新注冊一下，相信這樣就能找到遠程桌面連接命令了。

Vista以上版本的新系統都支持網絡級身份驗證功能，該功能可以保護遠程控制連接的安全性?？墒牵赪indows XP等舊版本系統中，卻沒有網絡身份驗證功能，請問有沒有辦法讓Windows XP系統也支持該功能？

答：可以在Windows XP系統中依次點選“開始”、“運行”命令，打開系統運行對話框，輸入“regedit”命令，按回車鍵后切換到注冊表編輯界面；逐一跳轉到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”分支上，雙擊目標分支下的“Security Packages” 鍵值，輸入“tspkg”，并按“確定”按鈕返回；接著跳轉到“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlServiceProvider”分支上，雙擊“SecurityProviders”鍵值，添加輸入“, credssp.dll”（逗號后有英文空格符號），再按“確定”按鈕保存設置操作，之后重新啟動一下計算機系統，這樣Windows XP系統的遠程桌面連接對話框“關于”頁面中，就會出現“支持網絡級別的身份驗證”功能選項了，通過該選項就能有效保護Windows XP系統遠程控制連接安全了。

某Windows 2008服務器是部署在一臺硬件性能一般的計算機中的，當有多個用戶通過遠程桌面連接，對其進行遠程控制操作時，服務器系統的響應能力十分遲鈍，嚴重的時候，直接影響其正常工作。請問如何在Windows 2008系統中，限制用戶的遠程桌面連接數量？

答：先打開Windows 2008系統的“開始”菜單，從中依次點選“程序”、“管理工具”、“終端服務”、“終端服務配置”命令，彈出系統終端服務配置界面；展開“授權診斷”分支，選中目標分支下的“RDPTcp”選項，并用鼠標右擊該選項，點選右鍵菜單中的“屬性”選項，切換到“RDP-Tcp”選項設置界面；選中“網絡適配器”選項卡，在該選項設置頁面的最大連接數處輸入“3”，按“確定”按鈕，這樣Windows 2008系統日后最多只允許有3個遠程連接同時與之建立聯系。當然，對于普通的計算機系統，也可以通過修改系統注冊表，來限制用戶的遠程桌面連接數量；在進行這種修改操作時，依次單擊“開始”、“運行”，輸入“regedit”命令，按回車鍵切換到系統注冊表編輯窗口；將鼠標定位到該注冊表編輯窗口 的“HKEY_LOCAL_MACHINESOFTWAREPolicie sMicrosoftWindows NTTerminal Services”分支上，在目標分支下創建一個名為“MaxInstanceCount”的雙字節鍵值，同時將其數值設置成十進制的“3”，最后刷新系統注冊表即可。

局域網中很多終端計算機都有病毒，要是輕易允許帶毒系統利用遠程桌面連接，遠程控制Windows 2008系統，那么作為服務器使用的Windows 2008系統，就很容易遭遇病毒或木馬的攻擊。為了避免帶毒系統的傳染，請問有沒有辦法控制客戶機與Windows 2008系統的遠程桌面連接？

答：可以利用Windows 2008系統自帶的高級安全防火墻，來授權安全、合法的客戶機才有資格與Windows 2008系統建立遠程桌面連接。在Windows 2008服務器系統中，依次點選“開始”、“運行”選項，彈出系統運行對話框，執行“gpedit.msc”命令，切換到系統組策略編輯窗口；逐一跳轉到該編輯窗口左側的“計算機配置”、“管理模板”、“網絡”、“網絡連接”、“Windows防火墻”、“標準配置文件”分支上，雙擊目標分支下的“Windows防火墻：允許入站遠程管理例外”選項，從彈出的組策略選項設置界面中，選中“已啟用”選項，自動激活“允許來自這些IP地址的未經請求的傳入消息”文本框，在這里輸入合法、安全的客戶機IP地址，最后按“確定”按鈕保存設置，這樣就能實現上述控制目的了。

為了改善工作效率，很多人通過遠程桌面功能，遠程控制局域網中的重要主機系統時，都會選擇自動記憶遠程登錄密碼。不過，當本地系統被加入到局域網特定工作域后，再通過遠程桌面功能連接重要主機系統時，系統卻會彈出憑據無法工作之類的錯誤提示，請問如何才能在遠程桌面連接中，繼續使用之前保存的登錄憑據呢？

答：只要對本地系統的憑據分配功能進行合適設置即可。在進行這種設置時，依次單擊“開始”、“運行”命令，在彈出的系統運行對話框中輸入“gpedit.msc”命令，按回車鍵后，從系統組策略編輯窗口的左側列表區域，依次點選“計算機配置”、“管理模板”、“系統”、“憑據分配”分支，找到目標分支下的“允許分配保存的憑據用于僅NTLM服務器身份驗證”選項，用鼠標雙擊該選項，切換到對應組策略的選項設置對話框，將“已啟用”選項選中，激活并按下“顯示”按鈕，打開顯示內容對話框，輸入并添加“termsrv /*”字符，連續兩次單擊“確定”按鈕，之后重新啟動一下本地系統，就能解決上述問題。

當用戶以遠程桌面連接方式，對Windows 2008服務器系統建立遠程控制后，即使他不進行任何操作，遠程桌面連接仍然會占用系統資源，同時還會影響其他用戶的正常連接，請問能否讓空閑的連接在指定時間自動斷開？

答：可以對Windows 2008服務器系統的空閑會話限制進行設置實現上述目的。在進行這種設置時，依次單擊“開始”、“程序”、“管理工具”、“終端服務”、“終端服務配置”命令，切換到系統終端服務配置窗口，用鼠標右鍵單擊“連接”列表中的“RDP-Tcp”選項，執行右鍵菜單中的“屬性”命令，彈出“RDP-Tcp”屬性對話框；選擇“會話”選項卡，在對應選項設置頁面中選中“改寫用戶設置”項，同時將“空閑會話限制”修改為“8分鐘”左右，再將“達到會話限制或連接被中斷時”選擇為“從會話斷開”，最后重新啟動Windows 2008服務器系統，這樣遠程會話連接空閑時間一旦超過8分鐘，Windows 2008服務器系統就能自動斷開空閑遠程連接了。

最近，在管理Windows 2008服務器系統時，經常發現有來自不同網段的終端計算機，以遠程桌面功能隨意與該系統建立遠程控制連接。事實上，在平時的工作中只有10.192.1.0/255.255.255.0網段的終端計算機，才會對服務器系統有遠程控制需求。請問有沒有辦法讓Windows 2008服務器系統僅接受來自10.192.1.0/255.255.255.0網段終端機的遠程控制連接請求，而拒絕其他網段終端機的遠程控制連接請求呢？

答：大家不妨利用Windows 2008系統自帶的高級安全防火墻實現上述控制目的。首先啟用該系統的高級安全防火墻功能；依次單擊“開始”、“設置”、“控制面板”選項，在彈出的系統控制面板窗口中，雙擊Windows防火墻選項，在其后窗口中單擊“啟用或關閉Windows防火墻”鏈接，切換到Windows 2008系統防火墻基本配置窗口，選中“啟用”選項即可。其次對它的入站規則進行合適設置；在Windows防火墻管理界面中，單擊“高級設置”按鈕，切換到高級防火墻設置對話框；在其中的“入站規則”列表中，用鼠標右鍵單擊“遠程桌面”選項，點選右鍵菜單中的“屬性”命令，彈出遠程桌面連接屬性界面。選擇“常規”選項卡，在對應選項設置頁面中，將“常規”位置處的“已啟用”選中，再將“操作”處的“只允許安全連接”選中。接著選擇“作用域”選項卡，在對應選項設置頁面的“遠程IP地址”文本框中，輸入合適的IP地址即可，比方說，要是我們希望只允許10.192.1.0網段的客戶機與服務器系統建立遠程桌面連接時，那只要在這里“10.192.1.0/255.255.255.0”，再單擊“確定”按鈕保存設置即可。

每位用戶都知道，通過遠程桌面連接進行遠程控制操作時，需要使用到3389端口，請問該端口號碼能否被更改，如要改成通過1234端口建立遠程控制連接，又該如何實現？

答：缺省狀態下，遠程控制連接端口號碼可以修改成其他不為人所知的號碼。例如，要在Vista系統中將遠程桌面連接端口號碼修改為1234時，可以依次單擊“開始”、“運行”，執行“regedit”命令，切換到注冊表編輯界面，定位到該界面左側列表區域的“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp”分支上，雙擊該分支下名為“PortNumber”的Dword值，在其后界面中選擇“十進制”，再輸入“1234”，按“確定”按鈕保存設置；接著返回到注冊表根結點，再次跳轉 到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp” 分支上，將目標分支下的“PortNumber”數值也設置為十進制的“1234”，同時重新啟動計算機系統，這樣遠程桌面連接端口號碼就變成1234了。日后，其他系統要與本地主機建立遠程桌面連接時，必須在本地主機地址后面加上“:1234”，才能連接創建成功。

某人通過遠程桌面功能，遠程控制單位Web服務器的時候，臨時有個文件想上傳到服務器主機中，可是無論怎么操作，也不能將本地系統的文件傳輸到Web服務器中，這該如何是好呢？

答：出現這種現象，主要是小李沒有啟用遠程桌面連接程序的文件傳輸功能，導致他無法通過該連接上傳臨時文件。要解決該問題，可以依次單擊本地系統的“開始”、“程序”、“遠程桌面連接”命令，切換到遠程桌面連接界面，按“選項”按鈕，選擇“本地資源”選項卡，在對應選項設置頁面中選中“磁盤驅動器”選項，要是希望能使用遠端主機系統的打印機時，還要將“打印機”選項選中；之后，切換到“常規”選項設置頁面，輸入遠程主機的IP地址、端口號碼、登錄信息，并按“連接”按鈕，創建遠程桌面連接；一旦遠程連接成功后，就能象在本地系統復制文件那樣，向Web服務器中上傳各種文件了。

為了保護以遠程桌面方式實施的遠程控制安全，很多人利用Windows 2008服務器系統自帶的高級安全防火墻，為遠程控制連接創建了許多安全規則，不過如果允許他人隨意修改這些規則的話，遠程控制連接安全性仍然得不到保障，請問有沒有辦法禁止用戶修改遠程桌面連接安全規則？

答：只要打開Windows 2008服務器系統的注冊表編輯窗口，跳轉到HKEY_LOCAL_MACHIN ESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules分支上，該注冊表分支下保存了包含遠程桌面連接的許多安全規則，只要禁止非信任用戶訪問FirewallRules分支內容，就可以保護遠程桌面連接安全規則了。例如，要禁止“Everyone”帳號修改遠程桌面連接安全規則時，可以先將鼠標定位到FirewallRules分支上，依次點選“編輯”、“權限”菜單選項，按“添加”按鈕，彈出用戶帳號選擇框，選中并導入“Everyone”帳號，同時將“Everyone”帳號的“完全控制”權限調整為“拒絕”，再按“確定”按鈕保存設置，這樣普通用戶日后就不能隨意修改遠程桌面連接安全規則以及其他規則了。

在缺省狀態下，Windows系統會將遠程桌面連接權限授予administrator賬號，而黑客正是看準了這個弱點，往往會利用該系統管理員賬號對局域網中的重要主機系統進行遠程攻擊，請問怎樣快速取消系統管理員賬號默認的遠程桌面連接權限，以避免不必要的遠程控制操作呢？

答：很簡單！只要在遠程主機系統中，依次點選“開始”、“運行”選項，打開系統運行對話框，在其中輸入“cmd”命令，單擊“確定”按鈕后切換到DOS命令行窗口，在該窗口中執行“net user administrator /active:no”命令，administrator賬號日后就沒有權限進行遠程桌面連接了。

有時候，準備通過遠程桌面功能，對網絡中的其他計算機執行遠程控制操作時，看到對應功能沒有啟用，請問能否遠程啟用這項功能？

答：答案是肯定的！例如，在遠程啟用Windows 2003系統的遠程桌面功能時，可以先在本地系統依次單擊“開始”、“運行”命令，在系統運行框中輸入“regedit”命令，按回車鍵切換到注冊表編輯界面，點選“文件”、“連接網絡注冊表”菜單選項，輸入Windows 2003系統的主機名稱或IP地址，單擊“確定”按鈕彈出Windows 2003系統的注冊表編輯界面；依次跳轉到“server1HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server”分支上，雙擊該分支下的“fDenyTSConnections”鍵值，輸入“0”，單擊“確定”按鈕保存設置操作；接著將本地系統切換到DOS命令行提示符窗口，在其中執行“shutdown-m \aaa r”命令(aaa為Windows 2003系統的主機名稱或IP地址)，對Windows 2003系統進行遠程重啟操作，啟動成功后Windows 2003系統的遠程桌面功能就被遠程啟用了。此時，用戶就能在本地系統通過“遠程桌面連接”程序，來與Windows 2003服務器系統建立遠程桌面連接了。

嘗試通過遠程桌面連接對服務器系統完成遠程控制操作后，往往會通過關閉遠程桌面窗口的形式，來退出服務器系統，請問這種退出形式是否徹底？

答：不徹底！即使關閉了遠程桌面窗口，筆者創建的遠程桌面連接仍然在服務器系統中處于空閑狀態，這種狀態仍然會消耗服務器系統的寶貴資源；要想徹底退出服務器系統，必須對空閑的用戶連接執行注銷操作。在執行注銷操作時，依次單擊服務器系統的“開始”、“運行”，執行“cmd”命令，切換到MS-DOS窗口；在該窗口中輸入“quser”命令，按回車鍵后，返回所有用戶的遠程連接ID、連接賬號等，記錄下自己創建的遠程連接ID，再在DOS命令行窗口中執行“logoff x”命令，其中“x”就是自己創建的遠程連接ID，這樣筆者通過遠程桌面連接占用的服務器系統資源就會被徹底釋放出來。

當有多人同時以遠程桌面方式，對特定主機執行遠程控制操作后，要是有人惡作劇地中止其他人的遠程控制連接時，就會影響別人的遠程控制操作。請問有沒有辦法禁止用戶隨意注銷別人的遠程桌面連接？

答：答案是肯定的！只要打開遠程主機系統的運行文本框，執行“gpedit.msc”命令，切換到系統組策略編輯窗口，在該窗口的左側位置處依次展開“計算機配置”、“管理模板”、“Windows組件”、“終端服務”、“終端服務器”、“連接”分支，用鼠標雙擊目標分支下面的“配置：拒絕將已經登錄到控制臺會話的管理員注銷”選項，切換到對應選項設置對話框中，選中“已啟用”選項，再按“確定”按鈕就能使上述設置立即生效了。

默認狀態下，Windows XP系統不允許用戶通過遠程桌面，同時與之建立多個遠程控制連接，當后續遠程連接創建成功時，當前遠程連接就會被系統強行斷開。那么如何才能讓Windows XP系統支持多用戶連接呢？

答：可以通過編輯注冊表來啟用Windows XP系統的遠程桌面連接會話并發功能。只要先打開系統運行文本框，執行“regedit”命令，從系統注冊表編輯窗口左側位置，依次展 開“HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerLicensing Core” 分 支，在目標分支下創建一個名為“EnableConcurrentSessions”的雙字節鍵值，同時將該鍵值的數值設置為“1”，再重新啟動計算機系統即可。