為保證服務器的操作被記錄和有效的保護服務器操作的安全性，在公司搭建了一臺堡壘機，但出現(xiàn)一個問題：

如果服務器管理員知道要訪問的服務器的賬號和密碼時，可以直接從本機發(fā)起遠程桌面連接（3389端口）來進行Windows服務器的操作，此時他的操作內(nèi)容將不會被記錄，這就存在很大的問題。

如何解決：

在服務器上配置IP訪問策略，限制只有特定的IP可以訪問本機的3389服務（桌面遠程）。

解決方案：

• ①配置防火墻出入站策略
• ②配置本地安全策略

由于公司服務器還進行其他服務的支持工作，防火墻已經(jīng)被關閉，于是選擇方案二。

操作方法：（以Windows Server 2208 R2為例，其他系統(tǒng)操作均相似）

步驟一：

點擊開始，選擇管理工具，本地安全策略。

選擇 IP安全策略，在本地計算機，右鍵選擇管理IP篩選列表和 篩選器操作。

步驟二：

在 管理IP篩選列表和 篩選器操作 窗口中，選擇管理篩選器操作窗口，并取消 使用“添加向?qū)?rdquo;勾選。

點擊 添加，在安全方法窗口中選擇 許可，常規(guī)窗口中選擇 允許，點擊確定，

同樣的方法添加阻止和阻斷。

步驟三：

在 管理IP篩選列表和 篩選器操作 窗口中，選擇管理IP篩選列表 窗口，并點擊 添加。

取消 使用”添加向?qū)?ldquo;勾選 ，名稱填寫 阻斷所有IP遠程桌面訪問，點擊 添加。

在IP篩選器屬性窗口中，選擇地址窗口 ，在源地址 選擇任何IP地址，目的地址 選擇我的IP地址，并取消 鏡像 勾選。

在 協(xié)議 窗口，選擇協(xié)議類型為 TCP,從任意端口，到此端口，3389，點擊確定，在IP篩選器列表中繼續(xù)點擊 確定。

在 管理IP篩選列表和 篩選器操作 窗口中，選擇管理IP篩選列表 窗口，并點擊 添加。

名稱填寫 允許特定IP遠程桌面訪問，點擊 添加

在IP篩選器屬性窗口中，選擇地址窗口 ，在源地址選擇 一個特定的IP地址或子網(wǎng)，并填寫允許訪問的IP地址（192.168.0.251），目的地址 選擇任何IP地址，并取消 鏡像 勾選。

在 協(xié)議 窗口，選擇協(xié)議類型為 TCP,從任意端口，到此端口，3389，點擊確定，在IP篩選器列表中繼續(xù)點擊 確定。

如下圖所示，已經(jīng)配置好了管理IP篩選器和管理篩選器操作 內(nèi)容了，點擊關閉。

步驟四：

選擇 IP安全策略，在本地計算機，右鍵選擇 創(chuàng)建IP安全策略，點擊下一步，

名稱填寫 遠程桌面連接安全策略，點擊下一步，

不勾選 激活，繼續(xù)下一步，

勾選 編輯屬性，點擊完成。

在遠程桌面連接安全策略 窗口中，取消勾選使用”添加向?qū)?ldquo;，然后點擊添加，

在新規(guī)則屬性 窗口 的 IP篩選器列表 窗口 中 選擇 阻斷所有IP遠程桌面訪問。

在新規(guī)則屬性 窗口 的 選器器操作 窗口 中 選擇 阻斷，點擊 應用，再點擊 確定

如下圖所示，已經(jīng)添加阻斷所有用戶遠程桌面訪問權(quán)限，

繼續(xù)添加允許特定用戶訪問的權(quán)限，點擊添加

在新規(guī)則屬性 窗口 的 IP篩選器列表 窗口 中 選擇 允許特定IP遠程桌面訪問。

在新規(guī)則屬性 窗口 的 選器器操作 窗口 中 選擇 允許，點擊 應用，再點擊 確定

所有安全策略配置完成，如下圖所示，點擊確定。

最后一步：在遠程桌面連接安全策略 列表上右鍵 分配。

策略已指派屬性顯示 是 則表示 策略分配成功。

測試：未配置允許的IP的電腦，遠程連接報錯，允許的IP對應的電腦，可以正常遠程連接。

最后

從時代發(fā)展的角度看，網(wǎng)絡安全的知識是學不完的，而且以后要學的會更多，同學們要擺正心態(tài)，既然選擇入門網(wǎng)絡安全，就不能僅僅只是入門程度而已，能力越強機會才越多。