远程控制专题问答

在利用远程桌面连接进行远程控制操作时，如果连接密码设置得不够复杂，那么非法用户就可能会通过暴力破解方式窃取登录密码，请问如何强制用户为远程桌面控制连接设置比较复杂的密码？

答：可以启用密码策略强制用户为远程桌面连接设置复杂密码。例如，在启用Windows 7系统的密码策略时，可以先打开该系统的运行文本框，执行“gpedit.msc”命令，切换到系统组策略编辑窗口，在该窗口的左侧位置处依次展开“计算机配置”、“Windows 设置”、“安全设置”、“账户策略”、“密码策略”分支，在该分支下有六个有关密码的设置策略选项，用鼠标双击“密码必须符合复杂性要求”选项，打开目标组策略属性设置窗口；选中“已启用”选项，再按“确定”按钮，这样Windows 7系统的远程桌面连接密码设置得不够复杂时，系统就会自动弹出相关提示。同样，可以根据实际需求，依次对“密码最长使用期限”、“密码长度最小值”、“强制密码历史”、“密码最短使用期限”等策略进行设置，最后按“确定”按钮执行设置保存操作，这么一来远程桌面连接密码就会被强行设置得复杂了。

某人在一台安装了Windows XP系统的终端计算机中，准备使用远程桌面连接程序，远程控制保存有共享资源的Windows 7系统时，发现登录账号、密码都正确，就是不能登录成功，不知道是什么原因？

答：这种问题在旧版本系统登录Vista以上版本系统时经常出现，原因主要是新版本系统新增加了网络级身份验证功能，该功能禁止存在许多安全漏洞的低版本系统随意进行远程桌面连接操作。要想解决上述问题，可以临时关闭Windows 7系统的网络级身份验证功能，在进行关闭操作时，可以先右击Windows 7系统桌面上的“计算机”图标，点选右键菜单中的“属性”命令，切换到Windows 7系统的属性对话框，单击该对话框左侧的“远程设置”按钮，打开远程设置界面，在这里Windows 7系统为用户提供了三个功能选项，来保护远程桌面连接安全性；我们只要选中“允许运行任意版本远程桌面的计算机连接(较不安全)”选项，再按“确定”按钮，就能在Windows XP系统中远程桌面连接Windows 7系统了。

某用户准备对单位的服务器系统进行远程控制，当他使用本地系统的远程桌面功能，与服务器主机建立远程控制连接时，发现系统“开始”菜单中的远程桌面连接命令丢失了，请问为什么会找不到该命令呢，又该如何才能恢复该命令的正常使用状态呢？

答：找不到远程桌面连接命令，或许是与该命令有关的系统服务停止或相关文件损坏引起的，此时不妨打开系统运行框，执行“services.msc”命令，从系统服务列表中双 击“Terminal Services”选项，切换到该服务的选项设置界面，点选“常规”选项卡，在对应选项设置页面中检查“Terminal Services” 服务的运行状态正常不正常，一旦发现其不正常时，单击“启动”按钮重新启用它，说不定就能解决上述问题了。当然，要 是“Terminal Services”服务正常，远程桌面连接命令还无法找到的话，那多半是系统中相关的文件受到了损坏，这时可以切换到系统DOS命令行窗口，执行“regsvr32 remotepg.dll”命令，来将远程桌面系统文件重新注册一下，相信这样就能找到远程桌面连接命令了。

Vista以上版本的新系统都支持网络级身份验证功能，该功能可以保护远程控制连接的安全性。可是，在Windows XP等旧版本系统中，却没有网络身份验证功能，请问有没有办法让Windows XP系统也支持该功能？

答：可以在Windows XP系统中依次点选“开始”、“运行”命令，打开系统运行对话框，输入“regedit”命令，按回车键后切换到注册表编辑界面；逐一跳转到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa”分支上，双击目标分支下的“Security Packages” 键值，输入“tspkg”，并按“确定”按钮返回；接着跳转到“HKEY_LOCAL_MACHINESYSTEMCurrent Control SetControlServiceProvider”分支上，双击“SecurityProviders”键值，添加输入“, credssp.dll”（逗号后有英文空格符号），再按“确定”按钮保存设置操作，之后重新启动一下计算机系统，这样Windows XP系统的远程桌面连接对话框“关于”页面中，就会出现“支持网络级别的身份验证”功能选项了，通过该选项就能有效保护Windows XP系统远程控制连接安全了。

某Windows 2008服务器是部署在一台硬件性能一般的计算机中的，当有多个用户通过远程桌面连接，对其进行远程控制操作时，服务器系统的响应能力十分迟钝，严重的时候，直接影响其正常工作。请问如何在Windows 2008系统中，限制用户的远程桌面连接数量？

答：先打开Windows 2008系统的“开始”菜单，从中依次点选“程序”、“管理工具”、“终端服务”、“终端服务配置”命令，弹出系统终端服务配置界面；展开“授权诊断”分支，选中目标分支下的“RDPTcp”选项，并用鼠标右击该选项，点选右键菜单中的“属性”选项，切换到“RDP-Tcp”选项设置界面；选中“网络适配器”选项卡，在该选项设置页面的最大连接数处输入“3”，按“确定”按钮，这样Windows 2008系统日后最多只允许有3个远程连接同时与之建立联系。当然，对于普通的计算机系统，也可以通过修改系统注册表，来限制用户的远程桌面连接数量；在进行这种修改操作时，依次单击“开始”、“运行”，输入“regedit”命令，按回车键切换到系统注册表编辑窗口；将鼠标定位到该注册表编辑窗口 的“HKEY_LOCAL_MACHINESOFTWAREPolicie sMicrosoftWindows NTTerminal Services”分支上，在目标分支下创建一个名为“MaxInstanceCount”的双字节键值，同时将其数值设置成十进制的“3”，最后刷新系统注册表即可。

局域网中很多终端计算机都有病毒，要是轻易允许带毒系统利用远程桌面连接，远程控制Windows 2008系统，那么作为服务器使用的Windows 2008系统，就很容易遭遇病毒或木马的攻击。为了避免带毒系统的传染，请问有没有办法控制客户机与Windows 2008系统的远程桌面连接？

答：可以利用Windows 2008系统自带的高级安全防火墙，来授权安全、合法的客户机才有资格与Windows 2008系统建立远程桌面连接。在Windows 2008服务器系统中，依次点选“开始”、“运行”选项，弹出系统运行对话框，执行“gpedit.msc”命令，切换到系统组策略编辑窗口；逐一跳转到该编辑窗口左侧的“计算机配置”、“管理模板”、“网络”、“网络连接”、“Windows防火墙”、“标准配置文件”分支上，双击目标分支下的“Windows防火墙：允许入站远程管理例外”选项，从弹出的组策略选项设置界面中，选中“已启用”选项，自动激活“允许来自这些IP地址的未经请求的传入消息”文本框，在这里输入合法、安全的客户机IP地址，最后按“确定”按钮保存设置，这样就能实现上述控制目的了。

为了改善工作效率，很多人通过远程桌面功能，远程控制局域网中的重要主机系统时，都会选择自动记忆远程登录密码。不过，当本地系统被加入到局域网特定工作域后，再通过远程桌面功能连接重要主机系统时，系统却会弹出凭据无法工作之类的错误提示，请问如何才能在远程桌面连接中，继续使用之前保存的登录凭据呢？

答：只要对本地系统的凭据分配功能进行合适设置即可。在进行这种设置时，依次单击“开始”、“运行”命令，在弹出的系统运行对话框中输入“gpedit.msc”命令，按回车键后，从系统组策略编辑窗口的左侧列表区域，依次点选“计算机配置”、“管理模板”、“系统”、“凭据分配”分支，找到目标分支下的“允许分配保存的凭据用于仅NTLM服务器身份验证”选项，用鼠标双击该选项，切换到对应组策略的选项设置对话框，将“已启用”选项选中，激活并按下“显示”按钮，打开显示内容对话框，输入并添加“termsrv /*”字符，连续两次单击“确定”按钮，之后重新启动一下本地系统，就能解决上述问题。

当用户以远程桌面连接方式，对Windows 2008服务器系统建立远程控制后，即使他不进行任何操作，远程桌面连接仍然会占用系统资源，同时还会影响其他用户的正常连接，请问能否让空闲的连接在指定时间自动断开？

答：可以对Windows 2008服务器系统的空闲会话限制进行设置实现上述目的。在进行这种设置时，依次单击“开始”、“程序”、“管理工具”、“终端服务”、“终端服务配置”命令，切换到系统终端服务配置窗口，用鼠标右键单击“连接”列表中的“RDP-Tcp”选项，执行右键菜单中的“属性”命令，弹出“RDP-Tcp”属性对话框；选择“会话”选项卡，在对应选项设置页面中选中“改写用户设置”项，同时将“空闲会话限制”修改为“8分钟”左右，再将“达到会话限制或连接被中断时”选择为“从会话断开”，最后重新启动Windows 2008服务器系统，这样远程会话连接空闲时间一旦超过8分钟，Windows 2008服务器系统就能自动断开空闲远程连接了。

最近，在管理Windows 2008服务器系统时，经常发现有来自不同网段的终端计算机，以远程桌面功能随意与该系统建立远程控制连接。事实上，在平时的工作中只有10.192.1.0/255.255.255.0网段的终端计算机，才会对服务器系统有远程控制需求。请问有没有办法让Windows 2008服务器系统仅接受来自10.192.1.0/255.255.255.0网段终端机的远程控制连接请求，而拒绝其他网段终端机的远程控制连接请求呢？

答：大家不妨利用Windows 2008系统自带的高级安全防火墙实现上述控制目的。首先启用该系统的高级安全防火墙功能；依次单击“开始”、“设置”、“控制面板”选项，在弹出的系统控制面板窗口中，双击Windows防火墙选项，在其后窗口中单击“启用或关闭Windows防火墙”链接，切换到Windows 2008系统防火墙基本配置窗口，选中“启用”选项即可。其次对它的入站规则进行合适设置；在Windows防火墙管理界面中，单击“高级设置”按钮，切换到高级防火墙设置对话框；在其中的“入站规则”列表中，用鼠标右键单击“远程桌面”选项，点选右键菜单中的“属性”命令，弹出远程桌面连接属性界面。选择“常规”选项卡，在对应选项设置页面中，将“常规”位置处的“已启用”选中，再将“操作”处的“只允许安全连接”选中。接着选择“作用域”选项卡，在对应选项设置页面的“远程IP地址”文本框中，输入合适的IP地址即可，比方说，要是我们希望只允许10.192.1.0网段的客户机与服务器系统建立远程桌面连接时，那只要在这里“10.192.1.0/255.255.255.0”，再单击“确定”按钮保存设置即可。

每位用户都知道，通过远程桌面连接进行远程控制操作时，需要使用到3389端口，请问该端口号码能否被更改，如要改成通过1234端口建立远程控制连接，又该如何实现？

答：缺省状态下，远程控制连接端口号码可以修改成其他不为人所知的号码。例如，要在Vista系统中将远程桌面连接端口号码修改为1234时，可以依次单击“开始”、“运行”，执行“regedit”命令，切换到注册表编辑界面，定位到该界面左侧列表区域的“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp”分支上，双击该分支下名为“PortNumber”的Dword值，在其后界面中选择“十进制”，再输入“1234”，按“确定”按钮保存设置；接着返回到注册表根结点，再次跳转 到“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp” 分支上，将目标分支下的“PortNumber”数值也设置为十进制的“1234”，同时重新启动计算机系统，这样远程桌面连接端口号码就变成1234了。日后，其他系统要与本地主机建立远程桌面连接时，必须在本地主机地址后面加上“:1234”，才能连接创建成功。

某人通过远程桌面功能，远程控制单位Web服务器的时候，临时有个文件想上传到服务器主机中，可是无论怎么操作，也不能将本地系统的文件传输到Web服务器中，这该如何是好呢？

答：出现这种现象，主要是小李没有启用远程桌面连接程序的文件传输功能，导致他无法通过该连接上传临时文件。要解决该问题，可以依次单击本地系统的“开始”、“程序”、“远程桌面连接”命令，切换到远程桌面连接界面，按“选项”按钮，选择“本地资源”选项卡，在对应选项设置页面中选中“磁盘驱动器”选项，要是希望能使用远端主机系统的打印机时，还要将“打印机”选项选中；之后，切换到“常规”选项设置页面，输入远程主机的IP地址、端口号码、登录信息，并按“连接”按钮，创建远程桌面连接；一旦远程连接成功后，就能象在本地系统复制文件那样，向Web服务器中上传各种文件了。

为了保护以远程桌面方式实施的远程控制安全，很多人利用Windows 2008服务器系统自带的高级安全防火墙，为远程控制连接创建了许多安全规则，不过如果允许他人随意修改这些规则的话，远程控制连接安全性仍然得不到保障，请问有没有办法禁止用户修改远程桌面连接安全规则？

答：只要打开Windows 2008服务器系统的注册表编辑窗口，跳转到HKEY_LOCAL_MACHIN ESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyFirewallRules分支上，该注册表分支下保存了包含远程桌面连接的许多安全规则，只要禁止非信任用户访问FirewallRules分支内容，就可以保护远程桌面连接安全规则了。例如，要禁止“Everyone”帐号修改远程桌面连接安全规则时，可以先将鼠标定位到FirewallRules分支上，依次点选“编辑”、“权限”菜单选项，按“添加”按钮，弹出用户帐号选择框，选中并导入“Everyone”帐号，同时将“Everyone”帐号的“完全控制”权限调整为“拒绝”，再按“确定”按钮保存设置，这样普通用户日后就不能随意修改远程桌面连接安全规则以及其他规则了。

在缺省状态下，Windows系统会将远程桌面连接权限授予administrator账号，而黑客正是看准了这个弱点，往往会利用该系统管理员账号对局域网中的重要主机系统进行远程攻击，请问怎样快速取消系统管理员账号默认的远程桌面连接权限，以避免不必要的远程控制操作呢？

答：很简单！只要在远程主机系统中，依次点选“开始”、“运行”选项，打开系统运行对话框，在其中输入“cmd”命令，单击“确定”按钮后切换到DOS命令行窗口，在该窗口中执行“net user administrator /active:no”命令，administrator账号日后就没有权限进行远程桌面连接了。

有时候，准备通过远程桌面功能，对网络中的其他计算机执行远程控制操作时，看到对应功能没有启用，请问能否远程启用这项功能？

答：答案是肯定的！例如，在远程启用Windows 2003系统的远程桌面功能时，可以先在本地系统依次单击“开始”、“运行”命令，在系统运行框中输入“regedit”命令，按回车键切换到注册表编辑界面，点选“文件”、“连接网络注册表”菜单选项，输入Windows 2003系统的主机名称或IP地址，单击“确定”按钮弹出Windows 2003系统的注册表编辑界面；依次跳转到“server1HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server”分支上，双击该分支下的“fDenyTSConnections”键值，输入“0”，单击“确定”按钮保存设置操作；接着将本地系统切换到DOS命令行提示符窗口，在其中执行“shutdown-m \aaa r”命令(aaa为Windows 2003系统的主机名称或IP地址)，对Windows 2003系统进行远程重启操作，启动成功后Windows 2003系统的远程桌面功能就被远程启用了。此时，用户就能在本地系统通过“远程桌面连接”程序，来与Windows 2003服务器系统建立远程桌面连接了。

尝试通过远程桌面连接对服务器系统完成远程控制操作后，往往会通过关闭远程桌面窗口的形式，来退出服务器系统，请问这种退出形式是否彻底？

答：不彻底！即使关闭了远程桌面窗口，笔者创建的远程桌面连接仍然在服务器系统中处于空闲状态，这种状态仍然会消耗服务器系统的宝贵资源；要想彻底退出服务器系统，必须对空闲的用户连接执行注销操作。在执行注销操作时，依次单击服务器系统的“开始”、“运行”，执行“cmd”命令，切换到MS-DOS窗口；在该窗口中输入“quser”命令，按回车键后，返回所有用户的远程连接ID、连接账号等，记录下自己创建的远程连接ID，再在DOS命令行窗口中执行“logoff x”命令，其中“x”就是自己创建的远程连接ID，这样笔者通过远程桌面连接占用的服务器系统资源就会被彻底释放出来。

当有多人同时以远程桌面方式，对特定主机执行远程控制操作后，要是有人恶作剧地中止其他人的远程控制连接时，就会影响别人的远程控制操作。请问有没有办法禁止用户随意注销别人的远程桌面连接？

答：答案是肯定的！只要打开远程主机系统的运行文本框，执行“gpedit.msc”命令，切换到系统组策略编辑窗口，在该窗口的左侧位置处依次展开“计算机配置”、“管理模板”、“Windows组件”、“终端服务”、“终端服务器”、“连接”分支，用鼠标双击目标分支下面的“配置：拒绝将已经登录到控制台会话的管理员注销”选项，切换到对应选项设置对话框中，选中“已启用”选项，再按“确定”按钮就能使上述设置立即生效了。

默认状态下，Windows XP系统不允许用户通过远程桌面，同时与之建立多个远程控制连接，当后续远程连接创建成功时，当前远程连接就会被系统强行断开。那么如何才能让Windows XP系统支持多用户连接呢？

答：可以通过编辑注册表来启用Windows XP系统的远程桌面连接会话并发功能。只要先打开系统运行文本框，执行“regedit”命令，从系统注册表编辑窗口左侧位置，依次展 开“HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerLicensing Core” 分 支，在目标分支下创建一个名为“EnableConcurrentSessions”的双字节键值，同时将该键值的数值设置为“1”，再重新启动计算机系统即可。