遠(yuǎn)程桌面登錄是管理服務(wù)器最主要的方式，于是很多不法分子打起了遠(yuǎn)程桌面的歪心思。他們采用暴力破解或撞庫的方式破解系統(tǒng)密碼，悄悄潛入服務(wù)器而管理員不自知。

同時(shí)遠(yuǎn)程桌面服務(wù)中的遠(yuǎn)程代碼執(zhí)行漏洞也嚴(yán)重威脅著服務(wù)器的安全，攻擊者可以利用這些漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行任意代碼，從而完全控制服務(wù)器。這些漏洞通常存在于遠(yuǎn)程桌面服務(wù)的組件中，如Windows遠(yuǎn)程桌面授權(quán)服務(wù)（RDL）。

因此對遠(yuǎn)程桌面登錄做安全防護(hù)措施成為了管理員必備的操作。目前遠(yuǎn)程桌面防護(hù)主要有以下幾種手段，哪種更好呢，我們來慢慢分析。

遠(yuǎn)程桌面防護(hù)的主要方式：

1、 二次身份驗(yàn)證

2、 限制登錄時(shí)間

3、 限制終端計(jì)算機(jī)名

4、 限制終端IP和區(qū)域

1、二次身份驗(yàn)證

在遠(yuǎn)程桌面登錄的時(shí)候，增加一層身份驗(yàn)證。需要輸入隨機(jī)驗(yàn)證碼或微信掃碼進(jìn)行授權(quán)，然后再輸入系統(tǒng)密碼，才能進(jìn)入服務(wù)器。此方法需要用戶連接到遠(yuǎn)程桌面后才能進(jìn)行驗(yàn)證，因此端口是對外開放的，無法阻擋黑客利用遠(yuǎn)程代碼執(zhí)行漏洞實(shí)施入侵。

（圖一：遠(yuǎn)程登錄二次身份驗(yàn)證）

2、限制登錄時(shí)間

限定只能在指定時(shí)間范圍遠(yuǎn)程登錄服務(wù)器。護(hù)衛(wèi)神是從防火墻驅(qū)動(dòng)進(jìn)行限制，非開放時(shí)間將無法連接到遠(yuǎn)程端口，看起來像遠(yuǎn)程桌面關(guān)閉似的，可以阻擋黑客利用遠(yuǎn)程代碼執(zhí)行漏洞實(shí)施入侵。然而在授權(quán)時(shí)間內(nèi)，遠(yuǎn)程桌面對任何人都開放，如果黑客在這段時(shí)間入侵，也是可能的。

（圖二：遠(yuǎn)程登錄開放時(shí)間限制）

3、限制終端計(jì)算機(jī)名

檢查遠(yuǎn)程終端設(shè)備的計(jì)算機(jī)名，只有計(jì)算機(jī)名在授權(quán)許可內(nèi)，才允許登錄。此方法只對Windows服務(wù)器有效，Linux服務(wù)器不支持。另外此方法還有兩個(gè)缺點(diǎn)，計(jì)算機(jī)名容易偽造；判斷時(shí)機(jī)較為延后，必須登錄服務(wù)器后才能進(jìn)行驗(yàn)證，因此端口是對外開放的，無法阻擋黑客利用遠(yuǎn)程代碼執(zhí)行漏洞實(shí)施入侵。

（圖三：遠(yuǎn)程登錄計(jì)算機(jī)名限制）

4、限制終端IP和區(qū)域

檢查遠(yuǎn)程終端設(shè)備的IP是否在許可范圍，許可范圍可以是IP、IP段、動(dòng)態(tài)域名，護(hù)衛(wèi)神防入侵系統(tǒng)還支持設(shè)置區(qū)域（如成都）。護(hù)衛(wèi)神是從防火墻驅(qū)動(dòng)進(jìn)行限制，非授權(quán)終端將無法連接到遠(yuǎn)程端口，看起來像遠(yuǎn)程桌面關(guān)閉似的，可以阻擋黑客利用遠(yuǎn)程代碼執(zhí)行漏洞實(shí)施入侵。

（圖四：遠(yuǎn)程桌面終端IP區(qū)域防護(hù)）

上述四種方法對比結(jié)果如下：

通過上述對比可以看出，首選“限制終端IP和區(qū)域”，即使限制為一個(gè)城市（例如成都），黑客和你同城的可能性非常小，因?yàn)楹诳鸵话闶褂脟�外跳板機(jī)入侵，避免身份暴露。

其次選擇“二次身份驗(yàn)證”，但是如果出現(xiàn)了最新的遠(yuǎn)程代碼執(zhí)行漏洞，那黑客也可以入侵服務(wù)器（雖然不一定能遠(yuǎn)程登錄，但能取得服務(wù)器管理權(quán)限）。

至于限制登錄時(shí)間和限制終端計(jì)算機(jī)名，則建議在啟用上述兩個(gè)防護(hù)手段的基礎(chǔ)上作為增強(qiáng)防護(hù)手段進(jìn)行啟用。

同時(shí)你也可以開啟登錄消息通知，進(jìn)一步提升遠(yuǎn)程桌面安全，可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“登錄消息通知”實(shí)現(xiàn)，通知結(jié)果如下：

（圖五：遠(yuǎn)程登錄郵件通知）