遠程登錄桌面？沒我指定的IP可不行

風刀

作為學校網管，筆者最頭疼的一件事就是服務器桌面被隨意遠程登錄。如此一來，總有些不自覺的人會隨便更改其中的東西。為了防范，筆者曾叮囑那些有權登錄的老師，不要隨便將服務器的IP地址和密碼告訴他人，但幾次下來，效果并不好。于是筆者突發奇想，如果能制定一個規則，只允許指定的IP地址能遠程登錄桌面，豈不是會解決很大問題？經過反復研究，筆者終于發現，Windows系統提供的“IP安全策略”功能，其實可以很好地滿足這一愿望。

以Windows 7為例。

新建IP安全策略

第一步：在“開始”菜單的搜索框中輸入“本地安全策略”，回車，打開“本地安全策略”窗口。右擊左側的“IP安全策略，在本地計算機”項，在彈出的右鍵菜單中選擇“創建IP安全策略”（如圖1）。打開“IP安全策略向導”對話框。

第二步：單擊“下一步”按鈕，在出現的“IP安全策略名稱”對話框中，設置好策略名稱（可根據策略的作用來設置，比如此處，我們設置策略的目的是為了只允許指定的IP可訪問遠程桌面，所以可將其名稱設置為“指定IP可訪問遠程桌面”）。設置完畢，單擊“下一步”按鈕（如圖2）。

第三步：在接下來的對話框中，取消對“激活默認響應規則（僅限于Windows的早期版本）”項的勾選，單擊“下一步”按鈕。在“正在完成IP安全策略制導”對話框中，勾選“編輯屬性”項，單擊“完成”按鈕，完成設置過程。

新建IP篩選器

第一步：此時屏幕上會出現“指定IP可訪問遠程桌面屬性”對話框，切換到“規則”標簽，取消對“使用‘添加向導”項的勾選，單擊“添加”按鈕（如圖3）。

第二步：在“新規則屬性”對話框中，切換到“IP篩選器列表”標簽，單擊“添加”按鈕，打開“IP篩選器列表”對話框，在“名稱”文本框中，填寫上篩選器名稱，比如“允許指定IP遠程訪問服務器”，同時取消對“使用‘添加向導”項的勾選，單擊“添加”按鈕（如圖4），打開“IP篩選器屬性”對話框。

第三步：切換到“地址”標簽，單擊“源地址”項下方的下拉箭頭，在出現的下拉菜單中，選擇“一個特定的IP或子網”，并在“IP地址或子網”文本框中，輸入你要允許其遠程桌面訪問的某臺PC的內網IP地址；單擊“目標地址”項下方的下拉箭頭，在出現的下拉菜單中，選擇“我的IP地址”，同時取消對“鏡像。與源地址和目標地址正好相反的數據包相匹配”項的勾選（如圖5）。

第四步：切換到“協議”標簽，在“選擇協議類型”下拉菜單中，選擇協議為“TCP”；“設置IP協議端口”為“從任意端口”；同時選擇“到此端口”項，在下方的文本框中輸入端口為“3389”，設置完畢，單擊“確定”按鈕（如圖6），返回上級界面，單擊“確定”按鈕，返回“新規則屬性”對話框。

第五步：在“新規則屬性”對話框中，單擊“添加”按鈕，然后用第二步、第三步介紹的方法，繼續添加其他允許訪問的內網IP地址，直到把所有允許訪問的PC添加完畢。同時用第二步、第三步所說的方法，新建一個IP篩選器，分別設置其名稱為“禁止允許以外的IP遠程訪問服務器”； “源地址”為“任意IP”，“目標地址”為“我的IP”。

為新建的IP篩選器添加篩選規則

第一步：在“新規則屬性”對話框中，切換到“篩選器操作”標簽，取消對“使用‘添加向導”項的勾選，單擊“添加”按鈕，打開“新篩選器操作屬性”對話框。

第二步：切換到“安全方法”標簽，選擇“阻止”項，然后切換到“常規”標簽，設置“名稱”為“阻止”，單擊“確定”按鈕。返回“新規則屬性”對話框。

第三步：切換到“IP篩選器列表”標簽，在列表中選擇允許訪問的篩選器名稱（如“允許指定IP遠程訪問服務器”。如圖7），切換到“篩選器操作”標簽，單擊“添加”按鈕，然后用與第二步相似的方法，分別設置其“安全方法”和“名稱”為“許可”、“允許”，單擊“確定”按鈕。

第四步：在“指定IP可訪問遠程桌面屬性”對話框中，單擊“添加”按鈕，選擇“禁止允許以外的IP遠程訪問服務器”，然后切換到“篩選器操作”標簽，選擇“許可”，確認后，返回“新規則屬性”對話框，在列表中右擊“指定IP可訪問遠程桌面”項，在彈出的右鍵菜單中選擇“指派”，無需重啟計算機即可令設置生效。

Tips

Windows7無法記錄遠程登錄者的IP，這對網管來說不是件好事，其實我們可以自己動手，編寫一個記錄日志，然后通過設置任務計劃的方法，達到自動記錄的目的。

首先建立一個存放日志的目錄，如：C：/RDP。然后在“C：/RDP”目錄下創建一個名為“RDPlog.txt”的文本文件“C：/RDP/RDPlog.txt”，同時在“C：/RDP”目錄下創建一個名為RDPlog.bat的批處理文件，內容如下（如圖8）：

date /t >>RDPlog.txt

time /t >>RDPlog.txt

netstat -n -p tcp | find "：3389">>RDPlog.txt

start Explorer

最后進入“控制面板”，選擇“管理工具/計劃任務”，按提示新建一個任務，將啟動時間設置為“用戶登錄時”，啟動的程序設置為 “C：＼RDP＼rdplog.bat”，保存使之生效即可。