遠程桌面登錄是管理服務器最主要的方式，于是很多不法分子打起了遠程桌面的歪心思。他們采用暴力破解或撞庫的方式破解系統(tǒng)密碼，悄悄潛入服務器而管理員不自知。

同時遠程桌面服務中的遠程代碼執(zhí)行漏洞也嚴重威脅著服務器的安全，攻擊者可以利用這些漏洞在遠程服務器上執(zhí)行任意代碼，從而完全控制服務器。這些漏洞通常存在于遠程桌面服務的組件中，如Windows遠程桌面授權服務（RDL）。

因此對遠程桌面登錄做安全防護措施成為了管理員必備的操作。目前遠程桌面防護主要有以下幾種手段，哪種更好呢，我們來慢慢分析。

遠程桌面防護的主要方式：

1、 二次身份驗證

2、 限制登錄時間

3、 限制終端計算機名

4、 限制終端IP和區(qū)域

1、二次身份驗證

在遠程桌面登錄的時候，增加一層身份驗證。需要輸入隨機驗證碼或微信掃碼進行授權，然后再輸入系統(tǒng)密碼，才能進入服務器。此方法需要用戶連接到遠程桌面后才能進行驗證，因此端口是對外開放的，無法阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。

（圖一：遠程登錄二次身份驗證）

2、限制登錄時間

限定只能在指定時間范圍遠程登錄服務器。護衛(wèi)神是從防火墻驅動進行限制，非開放時間將無法連接到遠程端口，看起來像遠程桌面關閉似的，可以阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。然而在授權時間內，遠程桌面對任何人都開放，如果黑客在這段時間入侵，也是可能的。

（圖二：遠程登錄開放時間限制）

3、限制終端計算機名

檢查遠程終端設備的計算機名，只有計算機名在授權許可內，才允許登錄。此方法只對Windows服務器有效，Linux服務器不支持。另外此方法還有兩個缺點，計算機名容易偽造；判斷時機較為延后，必須登錄服務器后才能進行驗證，因此端口是對外開放的，無法阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。

（圖三：遠程登錄計算機名限制）

4、限制終端IP和區(qū)域

檢查遠程終端設備的IP是否在許可范圍，許可范圍可以是IP、IP段、動態(tài)域名，護衛(wèi)神防入侵系統(tǒng)還支持設置區(qū)域（如成都）。護衛(wèi)神是從防火墻驅動進行限制，非授權終端將無法連接到遠程端口，看起來像遠程桌面關閉似的，可以阻擋黑客利用遠程代碼執(zhí)行漏洞實施入侵。

（圖四：遠程桌面終端IP區(qū)域防護）

上述四種方法對比結果如下：

通過上述對比可以看出，首選“限制終端IP和區(qū)域”，即使限制為一個城市（例如成都），黑客和你同城的可能性非常小，因為黑客一般使用國外跳板機入侵，避免身份暴露。

其次選擇“二次身份驗證”，但是如果出現(xiàn)了最新的遠程代碼執(zhí)行漏洞，那黑客也可以入侵服務器（雖然不一定能遠程登錄，但能取得服務器管理權限）。

至于限制登錄時間和限制終端計算機名，則建議在啟用上述兩個防護手段的基礎上作為增強防護手段進行啟用。

同時你也可以開啟登錄消息通知，進一步提升遠程桌面安全，可以使用《護衛(wèi)神.防入侵系統(tǒng)》的“登錄消息通知”實現(xiàn)，通知結果如下：

（圖五：遠程登錄郵件通知）