服务器安全狗远程桌面守护功能为用户服务器提供实时、主动的远程桌面登录保护,远程桌面守护针对多种类型的主流远程控制软件,包括操作系统自带的远程桌面登录工具、RealVnc、Redmin、Netman等都可以有效实现守护功能,确保服务器远程桌面不被非法登录。
同时,远程桌面守护还可以帮助用户避免因为安全策略端口保护规则设置不当引起的远程登录被禁止问题.
在开启远程桌面守护功能之后,如果遇到服务器远程桌面登录失败,请联系机房,暂停服务器安全狗远程桌面守护功能,即可解决问题。
远程登录端口的设置:
对于服务器远程登录端口的添加,系统可自动获取,并添加到“远程登录端口”,用户不需要再手动添加。
同时,端口对话框还允许用户直接在此更改用于进行远程桌面登录的端口,修改之后,用户下次登录远程桌面,应使用更改之后的端口进行登录。
如:远程登录端口由原来默认的3389改为12345,手动修改远程登录端口之后,选择“保存”以使新的设置生效。此时,系统会弹出提示框,建议用户到“安全策略”功能界面设置该端口的端口保护规则,修改需要守护的远程桌面登录端口(亦即修改用于进行远程桌面登录的端口),系统要求重启服务器以使设置生效。在系统弹出的“确认提示”对话框中选择“确定”,之后手动重启服务器,即可。如下图所示:
终端认证方式的选择:
终端认证方式即系统将以何种方式验证远程登录服务器的计算机。服务器安全狗“远程桌面保护”功能支持两种终端认证方式,即 “IP或域名认证”与“计算机名认证”。如果用户选择“IP或域名认证”方式,那么系统将验证进行远程桌面登录的计算机的IP或者域名,是否为用户指定的允许登录远程桌面的IP或者域名;如果用户选择“计算机名认证”,那么系统将验证进行远程桌面登录的计算机名,是否为用户指定的允许登录远程桌面的计算机名。如下图所示:
下面我们来讲讲远程桌面白名单的设置。
一、ip类型白名单
我们以IP 为192.168.0.1的计算机为例,来详细了解下:
“远程桌面白名单”即用户允许远程登录服务器的计算机IP、域名或者计算机名。选择“添加”在“增加远程白名单”对话框选择“白名单类型”,并且在“数据”栏目中添加相应的IP或者域名。
对于ip白名单,系统支持用户添加单个IP或者是IP段,诸如192.168.0.1或者192.168.0.1-192.168.0.12。
二、域名类型白名单
这里,需要着重说明的是,如果用于远程登录服务器的计算机,是使用动态IP分配方式连网,则建议使用“花生壳”等IP固定工具将动态IP与域名绑定。(花生壳是一个动态解析软件,这类软件可以把所有的动态ip(当然一次也只能是一个)解析成一个固定的域名,这样不管计算机的IP怎么变,它所对应的域名都是一样的。)动态IP绑定流程如下:
1) 花生壳安装程序;
2) 安装花生壳安装程序;
3) 使用花生壳申请域名;
注:此处申请的域名,解析之后的地址,是用来进行远程桌面连接的电脑的IP地址,而不是服务器地址,也不是网站域名。
下面我们以 test.gicp.net 为例来看看域名的添加:
得域名之后,在“白名单类型”中选择“域名”,并将从“花生壳”获得的域名填入“数据”栏目。所有操作完成之后,选择“应用”以保存设置。
添加完远程桌面白名单,必须开启远程桌面守护功能,以使之前的设置生效。选择“开启”,系统会提示进行“有效时间设置”,该功能允许用户自行设置远程桌面守护的有效时间,为部分用户进行测试提供方便。用户设置远程桌面守护有效时间结束之后,系统将自动停止远程桌面守护功能。
用户通过单击操作界面右上方的 “已开启/已关闭”按钮来关闭远程桌面守护功能。
远程桌面守护功能开启之后,将根据用户设置的规则对远程桌面进行实时保护,禁止所有不符合验证的终端登录服务器,强烈建议用户在开启远程桌面守护功能之前,确认远程端口、终端认证方式以及远程桌面白名单填写正确。
在此,也提醒各位用户朋友,“远程桌面白名单”与“超级白名单”功能类似,但是用途完全不同,“远程桌面白名单”用于指定允许进行远程登录服务器的计算机IP、域名或者计算机名,而“超级白名单”则用于添加信任IP,使指定IP或者IP段不受DDOS防火墙、ARP防火墙及安全策略端口保护规则限制。