设置远程桌面 让Windows 2008更安全

　　有的时候，为了防止局域网中的计算机病毒随意通过远程桌面连接传染给Windows Server 2008服务器系统，我们需要限定任何用户只能从局域网中特定的安全计算机上使用远程桌面功能，来远程控制目标服务器系统。为了实现只许特定计算机使用远程桌面与Windows Server 2008服务器系统建立连接的目的，我们可以按照如下步骤来设置本地服务器系统：

　　首先以系统管理员权限登录进入Windows Server 2008服务器系统，依次单击“开始”/“运行”命令，打开系统运行文本框，在其中输入“gpedit.msc”字符串命令，单击“确定”按钮，打开组策略编辑控制台窗口；

　　其次在该控制台窗口的左侧显示区域中，将鼠标定位于“计算机配置”分支选项上，再从该分支下面依次展开“管理模板”/“网络”/“网络连接”/“Windows防火墙”/“标准配置文件”子项，找到“标准配置文件”子项下面的“Windows防火墙：允许入站远程管理例外”目标组策略项目，用鼠标双击该项目，打开如图4所示的属性设置界面；

　　下面将该设置界面中的“已启用”项目选中，并且在其后自动激活的“允许来自这些IP地址的未经请求的传入消息”文本框中输入安全的特定计算机IP地址，再单击“确定”按钮完成设置操作，这样的话任何用户日后只能从这里指定的普通计算机上使用远程桌面功能来远程控制Windows Server 2008服务器系统了。

　　禁止所有计算机使用远程桌面

　　在排查网络故障的时候，我们有时需要临时禁止局域网中的所有计算机与Windows Server 2008服务器系统建立远程桌面连接，实现这种控制目的的方法有很多，不过最为简单的方法，就是利用服务器系统内置防火墙功能来快速禁止Windows Server 2008系统的远程桌面访问网络，下面就是具体的限制步骤：

　　首先打开Windows Server 2008服务器系统桌面的“开始”菜单，从中依次单击“设置”/“控制面板”选项，在弹出的系统控制面板窗口中，双击Windows防火墙选项，在其后弹出的窗口中单击左侧区域中的“启用或关闭Windows防火墙”链接，进入Windows Server 2008系统的防火墙基本配置窗口；

　　接着单击基本配置窗口中的“例外”选项卡，打开如图5所示的选项设置页面，将该页面中的“远程桌面”选项取消选中，再单击“确定”按钮关闭设置页面，如此一来局域网中的任意一台计算机再次尝试与Windows Server 2008服务器系统建立远程桌面连接时，都会被对应系统中的内置防火墙程序强行禁止掉了。

　　对远程桌面连接适当限制

　　大家知道，如果在某一段时间内同时有若干个远程桌面连接访问Windows Server 2008服务器系统时，对应服务器系统的运行效率就会受到明显影响，甚至能发生无法响应的故障现象。为了确保Windows Server 2008服务器能够稳定运行，我们可以按照下面的操作，来对远程桌面连接数量进行适当限制：

　　首先以超级用户身份登录进Windows Server 2008服务器系统，依次单击“开始”/“程序”/“管理工具”/“终端服务”/“终端服务配置”命令，打开对应系统的终端服务配置控制台窗口；

　　其次点选该控制台窗口左侧显示区域中的“授权诊断”分支选项，在对应该分支选项的右侧显示区域中，选中“RDP-Tcp”选项，并用鼠标右键单击该选项，从弹出的快捷菜单中执行“属性”命令，打开“RDP-Tcp”选项的属性设置对话框；

　　接着单击该属性设置对话框中的“网络适配器”标签，进入如图6所示的标签设置页面，在该设置页面的最大连接数设置项处，我们可以根据服务器系统自身的硬件配置性能进行合适设置，通常将该数值限制在“10”以下，最后单击“确定”按钮就可以了。

　　当然，我们也可以通过修改系统注册表的方法，来对远程桌面连接数量进行适当限制；在进行这种限制操作时，我们可以依次单击“开始”/“运行”命令，在系统运行框中执行“regedit”命令，打开服务器系统的注册表编辑界面；将鼠标定位于该注册表编辑界面左侧显示区域中的“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services”分支选项上，在对应“Terminal Services”选项的右侧显示窗格中创建好双字节值“MaxInstanceCount”，再将该键值的数值设置成十进制的“10”，最后刷新一下系统注册表就可以使设置生效了。