当我们把终端服务开启后,可以方便管理远程服务器,但同时也给服务器带来了一定的威胁。为了服务器的安全,我们可以通过设置安全策略限制连接终端服务的ip及网络?xml:namespace>
假设我们的终端服务器的ip为20.1.1.88,为了服务器的安全呢,我们只允许20.1.1.99地址的链接终端
,首先我们要在ip策略里新建一条策略,拒绝任何ip端口连接到本机的3389端口,然后在建一条规则,只允许192.168.100.34这个ip连接到服务器的3389端口,这样建的规则就会在拒绝规则的上方,实现一个ip的筛选。
建立拒绝任何ip连接到服务器的3389端口的规则
环境是VM 2003 又IP 一个为172.168.8.23 另一为 20.1.1.88
set 1
建立拒绝任何ip连接到服务器的3389端口的规则
在命令行中输入gpedit.msc,运行组策略。如图
set 2
打开组策略之后,选择“计算机配置”——“windows设置”——“ip安全策略”,然后右击创建ip策略
set 3
进入如上图所示的ip安全策略向导,点击下一步——下一步(将策略命名为deny any ip for 3389 port ),当弹出警告时,选择“是”——“下一步”
查看新建的ip策略。如图
set 4
查看自己新建的“deny any ip for 3389 port”,右击“属性”。 
单击添加,下一步----下一步 直到如下图
添加后得到下图
在单击添加---下一步----下一步
set 5
set 6
然后点击“下一步”,在ip协议类型选择tcp协议
点击“下一步”,把目标端口改成3389
Set 7
点击“下一步”,然后点击“完成”——“确认
弹出“ip”筛选操作。点击“添加”如图
Set 8
点击“下一步”,给筛选器设置操作名称,如图:
单击“完成
set 9
点击“完成”后,在筛选面板上选择“阻止”,单击“下一步”如图
点击“下一步”——然后点击“完成”。
最后点击“确认”后,右击“deny any ip for 3389 port”指派刚新建的策略,使其生效
这样一个服务器就拒绝所有的IP地址
因为时间关系 省略些步骤
允许20.1.1.99IP 可以远程的话 ,在上文中 Set 5 选择:一个特定的IP地址, Set 9 中选择:许可 其它不变