windows的遠(yuǎn)程桌面雖然用起來比較方便，但其安全性和資源占用比起SSH還是有不少的差距。

    想到的安全策略有一下幾個(gè)：

    1、更改默認(rèn)端口號(hào)

    終端服務(wù)默認(rèn)使用知名端口號(hào)3389，很顯然大家都知道這個(gè)端口是做什么的，所以改端口號(hào)可以躲過很多的機(jī)器掃描。可以從終端服務(wù)本機(jī)上修改默認(rèn)端口號(hào)，如果有防火墻做NAT，那更簡單了，NAT后的端口號(hào)別用3389就是了。

    2、設(shè)置復(fù)雜密碼

    現(xiàn)在的GPU處理能力十分恐怖，所以密碼位數(shù)少了就不安全了，大小寫字母和數(shù)字組合的12位密碼目前還基本夠用。遠(yuǎn)程桌面竟然不支持CA證書驗(yàn)證登錄，這點(diǎn)不如SSH了。SSH設(shè)置成2048位RSA證書登錄，禁止口令登錄，禁止root登錄，就相當(dāng)?shù)陌踩恕?/p>

    3、限制登錄嘗試次數(shù)

    修改組策略，“計(jì)算機(jī)配置->windows設(shè)置->安全設(shè)置->賬戶策略->賬戶鎖定策略”，“賬戶鎖定閾值”設(shè)置為10，也 就是10次無效登錄后就封鎖對(duì)方IP，禁止其在一段時(shí)間內(nèi)繼續(xù)嘗試登錄。“賬戶鎖定時(shí)間”就是無效登錄后多久才可以繼續(xù)嘗試登錄。“復(fù)位賬戶鎖定計(jì)數(shù)器” 設(shè)置多長時(shí)間后復(fù)位“賬戶鎖定閾值”，必須小于等于“賬戶鎖定時(shí)間”。

    4、禁止administrator用戶遠(yuǎn)程桌面登錄

    administrator實(shí)在是太扎眼了，可以禁止其遠(yuǎn)程桌面登錄，另設(shè)立一個(gè)管理員賬戶來執(zhí)行遠(yuǎn)程登錄任務(wù)，這樣用戶名和密碼的組合就更復(fù)雜了，爆破的難度大大加大。

    雙擊“計(jì)算機(jī)配置->Windows設(shè)置->安全設(shè)置->本地策略->用戶權(quán)限分配->通過終端服務(wù)允許登錄”，將Administrators賬號(hào)刪除掉，加入另設(shè)立的管理員賬戶即可。

    5、加密遠(yuǎn)程桌面連接

    默認(rèn)情形下，遠(yuǎn)程桌面的數(shù)據(jù)鏈接是不加密的，十分危險(xiǎn)有木有，容易被監(jiān)聽有木有。2003以后的windows版本可以使用SSL來加密遠(yuǎn)程桌面連接。