Win XP远程控制时如何保证安全

【 tulaoshi.com - windows 】

　　跟其他远程控制技术类似，远程协助和远程桌面同样要在使用前考虑好安全问题。对于最高级别的安全要求，根本不建议在实际应用中使用远程控制技术，不过要明白这种技术也能给用户带来便利。本章会就使用远程控制技术时保证安全性的方法进行说明。

　　远程协助

　　远程协助（RA，Remote Assistance）技术允许用户（邀请者）通过网络邀请其他人（受邀者）通过完了过解决自己遇到的实际问题。使用这种方法受邀者可以查看邀请者的计算机屏幕并且互交流信息，同时，如果邀请者允许，受邀者还可以通过网络操作邀请者的计算机直接解决问题。邀请者可以决定受邀者的权限到底是仅屏幕查看还是具有控制权。要使用远程协助，双方都需要使用Windows XP操作系统。

　　远程协助可以由邀请者发起，这叫请求远程协助；同时也可以由受邀者为邀请者提供远程协助，这叫提供远程协助。HelpAssistant账户就是给远程协助操作准备的，这个账户是在安装系统过程中创建的，并被随意分配一个复杂的密码，随后被禁用。当远程协助邀请打开时，用户的电脑上会创建一个“邀请者”的票证，同时3389端口也会打开，并允许到终端服务的访问，这时HelpAssistant账户会被自动启用。启用后受邀者可以使用这个账户和创建的票证访问邀请者的计算机。如果所有的票证都被关闭或者过期，HelpAssistant账户会被再次自动被禁用，3389端口也会同时关闭。

　　注意：远程桌面功能也使用了终端服务，因此如果远程桌面功能被启用后，3389端口可能会一直打开。

　　请求方式的远程协助

　　用户可以通过电子邮件或者Windows Messenger请求远程协助，或者把远程协助的请求保存为一个文件。目前还没办法限制初学者邀请人，任何人只要能物理上连接到初学者的计算机就可以接受他的邀请。当一个远程协助请求被答应后，初学者就可以看到专家的用户名。然而，唯一能确定连接来的用户是正确用户的方法是使用密码。初学者在创建一个协助请求时可以选择用密码保护这个协助，密码并不包含在请求文件中，而且受邀者必须输入正确的密码才能建立连接，密码可以由初学者通过其他方法发给受邀者。不过，密码复杂性、密码策略还有账户锁定策略等规则都不对这个密码和账户生效。

　　通过Windows Messenger发送的邀请是通过明文的方式以XML格式发送的，通过email形式发送或者保存的邀请文件是以MsRcIncident格式的文件发送的，这也是一种明文的XML格式。因此任何人只要能接触到这些数据就都能读出其中的内容，例如机器的IP地址、所使用的端口号以及邀请者是否设置了密码保护。

　　基于这些原因，对于安全要求比较严格的网络中，不建议使用远程协助。
　提供方式远程协助

　　提供远程协助通常被认为是对邀请者提供远程协助更加安全的做法。提供远程协助仅适用于位于同一个域中或者被信任的域中的两台计算机之间，并且通过设置允许用户提供远程协助。当使用这个功能时，专家不能在没有声明的情况下连接到用户的计算机，或者在没有从用户处获得权限的情况下控制计算机。同时用户也有允许或者拒绝对方连接的能力。

　　要使用这种方式的远程协助，安全配置模板的用户权限部分必须做如下修改：

用户权限建议设置允许通过终端服务登录
决定哪些用户或者用户组具有作为终端服务客户端登录的能力，远程桌面用户需要这个权限。如果同时还使用了远程协助功能，应只有使用该功能的管理员具有这个权限。注意：如果要使用提供方式的远程协助，则不用往该设置中添加任何用户或者用户组。<无人 拒绝通过终端服务登录决定哪些用户或者用户组被禁止作为终端服务客户端登录，这个权限是为远程桌面用户使用的。<无人

　　除此之外，为了允许用户使用提供方式的远程协助，还需要设置以下几个组策略：
　　在MMC的组策略组件中打开GPO或者通过容器的属性-组策略选项卡访问GPO的链接
　　如果是通过组策略选项卡访问，高亮选择目标GPO然后点击编辑以访问组策略组件
　　定位到计算机配置管理模板系统远程协助节点
　　双击右侧面版的请求远程协助
　　点击已启用按钮，以允许用户请求远程协助
　　从下拉菜单中选择“只允许帮助者查看此计算机”选项
　　设置最长票证时间（值）为0以及最长票证时间（单位）为分钟

　　应用设置，关闭对话框

　　注意：为了使用提供方式的远程协助，其用请求远程协助策略是必要的，然而，设置最长票证时间为0可以防止用户使用请求远程协助功能。

　　双击右侧面版的提供远程协助功能

　　如果你打算允许专家在这台计算机上提供远程协助，点击启用按钮

　　在