當我們把終端服務開啓後,可以方便管理遠程服務器,但同時也給服務器帶來了一定的威脅。爲了服務器的安全,我們可以通過設置安全策略限制連接終端服務的ip及網絡?xml:namespace>
假設我們的終端服務器的ip爲20.1.1.88,爲了服務器的安全呢,我們只允許20.1.1.99地址的鏈接終端
,首先我們要在ip策略裏新建一條策略,拒絕任何ip端口連接到本機的3389端口,然後在建一條規則,只允許192.168.100.34這個ip連接到服務器的3389端口,這樣建的規則就會在拒絕規則的上方,實現一個ip的篩選。
建立拒絕任何ip連接到服務器的3389端口的規則
環境是VM 2003 又IP 一個爲172.168.8.23 另一爲 20.1.1.88
set 1
建立拒絕任何ip連接到服務器的3389端口的規則
在命令行中輸入gpedit.msc,運行組策略。如圖
set 2
打開組策略之後,選擇“計算機配置”——“windows設置”——“ip安全策略”,然後右擊創建ip策略
set 3
進入如上圖所示的ip安全策略嚮導,點擊下一步——下一步(將策略命名爲deny any ip for 3389 port ),當彈出警告時,選擇“是”——“下一步”
查看新建的ip策略。如圖
set 4
查看自己新建的“deny any ip for 3389 port”,右擊“屬性”。 
單擊添加,下一步----下一步 直到如下圖
添加後得到下圖
在單擊添加---下一步----下一步
set 5
set 6
然後點擊“下一步”,在ip協議類型選擇tcp協議
點擊“下一步”,把目標端口改成3389
Set 7
點擊“下一步”,然後點擊“完成”——“確認
彈出“ip”篩選操作。點擊“添加”如圖
Set 8
點擊“下一步”,給篩選器設置操作名稱,如圖:
單擊“完成
set 9
點擊“完成”後,在篩選面板上選擇“阻止”,單擊“下一步”如圖
點擊“下一步”——然後點擊“完成”。
最後點擊“確認”後,右擊“deny any ip for 3389 port”指派剛新建的策略,使其生效
這樣一個服務器就拒絕所有的IP地址
因爲時間關係 省略些步驟
允許20.1.1.99IP 可以遠程的話 ,在上文中 Set 5 選擇:一個特定的IP地址, Set 9 中選擇:許可 其它不變