遠程桌面登錄是管理服務(wù)器最主要的方式，于是很多不法分子打起了遠程桌面的歪心思。他們采用暴力破解或撞庫的方式破解系統(tǒng)密碼，悄悄潛入服務(wù)器而管理員不自知。

同時遠程桌面服務(wù)中的遠程代碼執(zhí)行漏洞也嚴(yán)重威脅著服務(wù)器的安全，攻擊者可以利用這些漏洞在遠程服務(wù)器上執(zhí)行任意代碼，從而完全控制服務(wù)器。這些漏洞通常存在于遠程桌面服務(wù)的組件中，如Windows遠程桌面授權(quán)服務(wù)（RDL）。

因此對遠程桌面登錄做安全防護措施成為了管理員必備的操作。目前遠程桌面防護主要有以下幾種手段，哪種更好呢，我們來慢慢分析。

遠程桌面防護的主要方式：

1、 二次身份驗證

2、 限制登錄時間

3、 限制終端計算機名

4、 限制終端IP和區(qū)域

1、二次身份驗證

在遠程桌面登錄的時候，增加一層身份驗證。需要輸入隨機驗證碼或微信掃碼進行授權(quán)，然后再輸入系統(tǒng)密碼，才能進入服務(wù)器。此方法需要用戶連接到遠程桌面后才能進行驗證，因此端口是對外開放的，無法阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。

（圖一：遠程登錄二次身份驗證）

2、限制登錄時間

限定只能在指定時間范圍遠程登錄服務(wù)器。護衛(wèi)神是從防火墻驅(qū)動進行限制，非開放時間將無法連接到遠程端口，看起來像遠程桌面關(guān)閉似的，可以阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。然而在授權(quán)時間內(nèi)，遠程桌面對任何人都開放，如果黑客在這段時間入侵，也是可能的。

（圖二：遠程登錄開放時間限制）

3、限制終端計算機名

檢查遠程終端設(shè)備的計算機名，只有計算機名在授權(quán)許可內(nèi)，才允許登錄。此方法只對Windows服務(wù)器有效，Linux服務(wù)器不支持。另外此方法還有兩個缺點，計算機名容易偽造；判斷時機較為延后，必須登錄服務(wù)器后才能進行驗證，因此端口是對外開放的，無法阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。

（圖三：遠程登錄計算機名限制）

4、限制終端IP和區(qū)域

檢查遠程終端設(shè)備的IP是否在許可范圍，許可范圍可以是IP、IP段、動態(tài)域名，護衛(wèi)神防入侵系統(tǒng)還支持設(shè)置區(qū)域（如成都）。護衛(wèi)神是從防火墻驅(qū)動進行限制，非授權(quán)終端將無法連接到遠程端口，看起來像遠程桌面關(guān)閉似的，可以阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。

（圖四：遠程桌面終端IP區(qū)域防護）

上述四種方法對比結(jié)果如下：

通過上述對比可以看出，首選“限制終端IP和區(qū)域”，即使限制為一個城市（例如成都），黑客和你同城的可能性非常小，因為黑客一般使用國外跳板機入侵，避免身份暴露。

其次選擇“二次身份驗證”，但是如果出現(xiàn)了最新的遠程代碼執(zhí)行漏洞，那黑客也可以入侵服務(wù)器（雖然不一定能遠程登錄，但能取得服務(wù)器管理權(quán)限）。

至于限制登錄時間和限制終端計算機名，則建議在啟用上述兩個防護手段的基礎(chǔ)上作為增強防護手段進行啟用。

同時你也可以開啟登錄消息通知，進一步提升遠程桌面安全，可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“登錄消息通知”實現(xiàn)，通知結(jié)果如下：

（圖五：遠程登錄郵件通知）