遠(yuǎn)程登錄桌面？沒我指定的IP可不行

風(fēng)刀

作為學(xué)校網(wǎng)管，筆者最頭疼的一件事就是服務(wù)器桌面被隨意遠(yuǎn)程登錄。如此一來，總有些不自覺的人會隨便更改其中的東西。為了防范，筆者曾叮囑那些有權(quán)登錄的老師，不要隨便將服務(wù)器的IP地址和密碼告訴他人，但幾次下來，效果并不好。于是筆者突發(fā)奇想，如果能制定一個規(guī)則，只允許指定的IP地址能遠(yuǎn)程登錄桌面，豈不是會解決很大問題？經(jīng)過反復(fù)研究，筆者終于發(fā)現(xiàn)，Windows系統(tǒng)提供的“IP安全策略”功能，其實(shí)可以很好地滿足這一愿望。

以Windows 7為例。

新建IP安全策略

第一步：在“開始”菜單的搜索框中輸入“本地安全策略”，回車，打開“本地安全策略”窗口。右擊左側(cè)的“IP安全策略，在本地計(jì)算機(jī)”項(xiàng)，在彈出的右鍵菜單中選擇“創(chuàng)建IP安全策略”（如圖1）。打開“IP安全策略向?qū)А睂υ捒颉?/p>

第二步：單擊“下一步”按鈕，在出現(xiàn)的“IP安全策略名稱”對話框中，設(shè)置好策略名稱（可根據(jù)策略的作用來設(shè)置，比如此處，我們設(shè)置策略的目的是為了只允許指定的IP可訪問遠(yuǎn)程桌面，所以可將其名稱設(shè)置為“指定IP可訪問遠(yuǎn)程桌面”）。設(shè)置完畢，單擊“下一步”按鈕（如圖2）。

第三步：在接下來的對話框中，取消對“激活默認(rèn)響應(yīng)規(guī)則（僅限于Windows的早期版本）”項(xiàng)的勾選，單擊“下一步”按鈕。在“正在完成IP安全策略制導(dǎo)”對話框中，勾選“編輯屬性”項(xiàng)，單擊“完成”按鈕，完成設(shè)置過程。

新建IP篩選器

第一步：此時屏幕上會出現(xiàn)“指定IP可訪問遠(yuǎn)程桌面屬性”對話框，切換到“規(guī)則”標(biāo)簽，取消對“使用‘添加向?qū)А表?xiàng)的勾選，單擊“添加”按鈕（如圖3）。

第二步：在“新規(guī)則屬性”對話框中，切換到“IP篩選器列表”標(biāo)簽，單擊“添加”按鈕，打開“IP篩選器列表”對話框，在“名稱”文本框中，填寫上篩選器名稱，比如“允許指定IP遠(yuǎn)程訪問服務(wù)器”，同時取消對“使用‘添加向?qū)А表?xiàng)的勾選，單擊“添加”按鈕（如圖4），打開“IP篩選器屬性”對話框。

第三步：切換到“地址”標(biāo)簽，單擊“源地址”項(xiàng)下方的下拉箭頭，在出現(xiàn)的下拉菜單中，選擇“一個特定的IP或子網(wǎng)”，并在“IP地址或子網(wǎng)”文本框中，輸入你要允許其遠(yuǎn)程桌面訪問的某臺PC的內(nèi)網(wǎng)IP地址；單擊“目標(biāo)地址”項(xiàng)下方的下拉箭頭，在出現(xiàn)的下拉菜單中，選擇“我的IP地址”，同時取消對“鏡像。與源地址和目標(biāo)地址正好相反的數(shù)據(jù)包相匹配”項(xiàng)的勾選（如圖5）。

第四步：切換到“協(xié)議”標(biāo)簽，在“選擇協(xié)議類型”下拉菜單中，選擇協(xié)議為“TCP”；“設(shè)置IP協(xié)議端口”為“從任意端口”；同時選擇“到此端口”項(xiàng)，在下方的文本框中輸入端口為“3389”，設(shè)置完畢，單擊“確定”按鈕（如圖6），返回上級界面，單擊“確定”按鈕，返回“新規(guī)則屬性”對話框。

第五步：在“新規(guī)則屬性”對話框中，單擊“添加”按鈕，然后用第二步、第三步介紹的方法，繼續(xù)添加其他允許訪問的內(nèi)網(wǎng)IP地址，直到把所有允許訪問的PC添加完畢。同時用第二步、第三步所說的方法，新建一個IP篩選器，分別設(shè)置其名稱為“禁止允許以外的IP遠(yuǎn)程訪問服務(wù)器”； “源地址”為“任意IP”，“目標(biāo)地址”為“我的IP”。

為新建的IP篩選器添加篩選規(guī)則

第一步：在“新規(guī)則屬性”對話框中，切換到“篩選器操作”標(biāo)簽，取消對“使用‘添加向?qū)А表?xiàng)的勾選，單擊“添加”按鈕，打開“新篩選器操作屬性”對話框。

第二步：切換到“安全方法”標(biāo)簽，選擇“阻止”項(xiàng)，然后切換到“常規(guī)”標(biāo)簽，設(shè)置“名稱”為“阻止”，單擊“確定”按鈕。返回“新規(guī)則屬性”對話框。

第三步：切換到“IP篩選器列表”標(biāo)簽，在列表中選擇允許訪問的篩選器名稱（如“允許指定IP遠(yuǎn)程訪問服務(wù)器”。如圖7），切換到“篩選器操作”標(biāo)簽，單擊“添加”按鈕，然后用與第二步相似的方法，分別設(shè)置其“安全方法”和“名稱”為“許可”、“允許”，單擊“確定”按鈕。

第四步：在“指定IP可訪問遠(yuǎn)程桌面屬性”對話框中，單擊“添加”按鈕，選擇“禁止允許以外的IP遠(yuǎn)程訪問服務(wù)器”，然后切換到“篩選器操作”標(biāo)簽，選擇“許可”，確認(rèn)后，返回“新規(guī)則屬性”對話框，在列表中右擊“指定IP可訪問遠(yuǎn)程桌面”項(xiàng)，在彈出的右鍵菜單中選擇“指派”，無需重啟計(jì)算機(jī)即可令設(shè)置生效。

Tips

Windows7無法記錄遠(yuǎn)程登錄者的IP，這對網(wǎng)管來說不是件好事，其實(shí)我們可以自己動手，編寫一個記錄日志，然后通過設(shè)置任務(wù)計(jì)劃的方法，達(dá)到自動記錄的目的。

首先建立一個存放日志的目錄，如：C：/RDP。然后在“C：/RDP”目錄下創(chuàng)建一個名為“RDPlog.txt”的文本文件“C：/RDP/RDPlog.txt”，同時在“C：/RDP”目錄下創(chuàng)建一個名為RDPlog.bat的批處理文件，內(nèi)容如下（如圖8）：

date /t >>RDPlog.txt

time /t >>RDPlog.txt

netstat -n -p tcp | find "：3389">>RDPlog.txt

start Explorer

最后進(jìn)入“控制面板”，選擇“管理工具/計(jì)劃任務(wù)”，按提示新建一個任務(wù)，將啟動時間設(shè)置為“用戶登錄時”，啟動的程序設(shè)置為 “C：＼RDP＼rdplog.bat”，保存使之生效即可。