远程终端服务（3389）的安全配置方法总结

1、 修改终端服务端口
1)、在运行里面输入：”regedit”，进入注册表，然后找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ Wds \ rdpwd \ Tds \ tcp这一项，如图



找到“PortNumber”处，鼠标右键选择“修改”，选择十进制，换成你想修改的端口（范围在1024到65535）退即可，但要注意不能和其它端口冲突。如图



2）、找到HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Terminal Server \ WinStations \ RDP-Tcp这一项，如图：



在右侧找到” PortNumber处”,和上图操作方法一样，修改端口，但要注意这次的端口号要和上次修改的端口号相同，不能改成另外的端口号。



3）、重新启动操作系统，就可以用远程连接操作了，连接的时候格式为：IP:修改后的端口。
2、 利用组策略的IP安全策略限制3389端口的访问。
1)、在运行里面输入：”gpedit.msc”打开组策略，找到计算机配置下的安全配置的IP安全策略，如图：



在右侧窗口中右击选择创建IP安全策略，选择下一步，命名为“自定义安全策略”并下一步，直至完成。 如图：






完成后如图：



2）、编辑自定义策略
A、双击自定义策略，选择“添加”按钮（取消使用“添加向导”前的钩），如图：






再一次选择“添加”按钮，在名称里命名为“拒绝任何IP访问服务器3389端口”。如图



再次点选“添加”按钮，然后下一步，描述栏可写可不写，在源地址栏下选择“任何IP地址”，如图：



在目标地址栏下选择“我的IP地址”，IP协议中选择“TCP”，如图：






在IP协议端口中选择“从任意端口”到“此端口”，并填入3389，如图





下一步，直至完成到下一界面如图：



选中“拒绝任何IP访问3389端口”，并转到“筛选器操作”标签，如图



再一次点选“添加”按钮，在名称中给予一个命名，如图：



在筛选器操作行为中选择“阻止”，如图：



选择下一步操作，确保选中“阻止访问选项”，如下图，直至完成。



B、再次双击自定义策略，选择“添加”按钮，操作步骤和上面相似，只是在如下界面不一样，如图：






在如上图选择IP通信源中选择“一个特定的IP地址”并选择你允许访问的IP地址。
完成后选中允许访问那一项，并转到“筛选器操作”标签，如图：






在“筛选器操作”标签中，选中“许可”，完成后如下图：



3）、在IP安全策略中，右击刚才建立的自定义策略，选择所有任务，并选中“指派”，然后刷新组策略。就可以连接服务器的3389端口了。如图






如下图，用正确的IP连接成功



换成一个没有指定的IP连接就不能成功。如下图所示：



3、 利用证书加密3389端口（访方法只支持windows2003系统，并至少要升级到SP1及以上补丁）
1.在服务器端安装证书服务并申请证书：
1）、安装证书服务
在运行里输入sysocmgr /i:sysoc.inf打开控制面板的添加/删除windows组件来安装“证书服务”（在安装证书服务前要安装IIS服务） 在CA证书类型中选择“独立根CA”（如果是域环境则要选择企业根CA），如下图，然后点“下一步”继续



在CA识别信息窗口中为安装的CA起一个公用名称，可分辨名称后缀处可以不填写，其它保持默认即可，如下图



在证书数据库设置窗口我们保持默认即可，提示要暂时停止internet信息服务，点“下一步”后继续



在如上图中把windows2003安装光盘放入光驱中，点确定后下一步，直至完成CA证书服务的windows组件安装工作。
2）、申请证书
打开IE浏览器，在地址栏处输入http://ip/certsrv/，我的服务器地址是192.168.200.25,则输入http://192.168.200.25/certsrv 如图



我们在该界面中选择“申请一个证书”。在申请证书界面选择“高级证书申请”，出现如下界面



在高级证书申请界面选择“创建并向此CA提交一个申请”，出现如下界面：






在姓名里填入服务器的IP地址（如果高级证书姓名填写的是其他信息，那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址）
电子邮件和公司，部门，地区等信息随意填写；
需要的证书类型选择“服务器身份验证证书”；
密钥选项设置为“创建新密钥集”。
密钥用户设置为“交换”；
将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此，申请完成。



3）、颁发证书
通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。下的“挂起的申请”处会看刚才申请的证书。在该证书上点鼠标右键选择“所有任务->颁发”，颁发后我们申请的证书就可以使用了。



4）、安装证书
打开IE浏览器，在地址栏处输入http://192.168.200.25/certsrv，如下图所示：



在上图中选择“查看挂起的证书申请状态”，在这里会看到我们原来提交的那个“服务器身份验证证书”。如下图



点该“服务器身份验证证书”后出现证书已颁发的提示，我们直接点“安装此证书”。
2、服务器远程桌面设置：
点击“开始->程序->管理工具->终端服务配置”来打开tscc终端服务配置窗口。如下图



在tscc终端服务配置窗口中我们选“终端服务配置-----连接”，在右边窗口中会显示出终端服务，我们在其上点右键选择“属性”。如下图



在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到刚才安装成功的证书。如下图



选择完证书后返回常规标签中，对安全级别进行设置，将安全层设置为“SSL”，将加密级别设置为“高”。至此完成设置工作。如下图



3、客户端安装认证证书并安装远程连接程序
1）从服务器上导出证书
点开始----运行，输入MMC，找开管理控制台，添加相应管理单元，选择“证书”（注意这里要选择“计算机帐户”并选择“本地计算机”才行）。
在控制台界面后我们选择“控制台根节点->证书（本地计算机）->个人->证书”，在右边窗口中会看到服务器当前安装的所有证书。如下图



在192.168.200.25证书上点鼠标右键后选择“打开”，在证书信息界面中选择“详细信息”，然后点下方的“复制到文件”按钮，将证书进行复制，也可以直接选择导出。如下图



选择下一步，并依次选择如下选项
导出私钥处选择“不，不要导出私钥”；
导出文件格式处选择“DER 编码二进制X.509（.CER）”；
选择导出文件的保存路径，并保存好 。如下图



2）、客户端安装证书
文件保存后就可以把这个证书文件复制到其他计算机上了，然后双击安装就可以使用了。
如果安装后提示证书无效，有可能就是你是工作组模式，请将CA证书导出后复制到客户端安装就可以解决问题。
3）、客户端安装远程连接程序
从服务器中COPY安装程序，在服务器以下目录C:\WINDOWS\system32\clients\tsclient，找到一个win32目录，拷到客户端，双击setup.exe 安装，然后在程序里就可以找到“远程桌面连接”项。点开“选项”就可以看到“安全”标签。如下图



在“安全”标签中将身份验证方式修改为“要求身份验证”。设置完毕后点“连接”按钮就可以通过3389端口访问远程配置好SSL加密模式的服务器，连接成功时有一个锁的图标显示为加密连接。