雖然有很多選擇，微軟的遠端桌面是一個完全可行的選擇訪問其他計算機，但它必須得到適當的安全。在推薦的安全措施到位後，遠端桌面是極客們可以使用的強大工具，它可以讓你避免為這種功能安裝第三方應用程式。

本指南和隨附的截圖是針對Windows 8.1或Windows 10**的。但是，只要您使用的是這些Windows版本之一，您就應該能夠遵循本指南：

• Windows 10專業版
• Windows 8.1專業版
• Windows 8.1企業版
• Windows 8企業版
• Windows 8專業版
• Windows 7專業版
• Windows 7企業版
• Windows 7旗艦版
• Windows Vista業務
• Windows Vista旗艦版
• Windows Vista企業版
• Windows XP專業版

啟用遠端桌面

首先，我們需要啟用遠端桌面並選擇哪些使用者可以遠端訪問計算機。按Windows鍵+R彈出執行提示，然後鍵入“系統屬性.”

進入同一選單的另一種方法是在“開始”選單中鍵入“這臺電腦”，右鍵單擊“這臺電腦”並轉到“屬性”：

無論哪種方式，都會出現此選單，您需要單擊“遠端”選項卡：

選擇“Allow remote connecti*** to this computer”（允許遠端連線到此計算機）及其下面的選項“Allow connecti*** only from computers running remote Desktop with Network Level Authentication”（僅允許從執行網路級身份驗證的遠端桌面計算機進行連線）

不必要求網路級身份驗證，但這樣做可以保護您的計算機免受中間人攻擊，從而使您的計算機更加安全。即使像WindowsXP這樣古老的系統也可以透過網路級身份驗證連線到主機，因此沒有理由不使用它。

啟用遠端桌面時，可能會收到有關電源選項的警告：

如果是這樣，請確保單擊“電源選項”連結，並對計算機進行配置，使其不會進入睡眠或休眠狀態。如果需要幫助，請參閱我們關於管理電源設定的文章。

接下來，單擊“選擇使用者”

Administrators組中的任何帳戶都已具有訪問許可權。如果您需要向任何其他使用者授予遠端桌面訪問許可權，只需單擊“新增”並鍵入使用者名稱。

單擊“Check Names”（檢查名稱）驗證鍵入的使用者名稱是否正確，然後單擊OK（確定）。在“系統屬性”視窗中也單擊“確定”。

保護遠端桌面

您的計算機當前可以透過遠端桌面連線（僅在您的本地網路上，如果您在路由器後面），但是為了實現最大安全性，需要配置更多設定。

首先，讓我們談談顯而易見的問題。您授予遠端桌面訪問許可權的所有使用者都需要具有強密碼。有很多機器人經常在網際網路上掃描執行遠端桌面的易受攻擊的電腦，所以不要低估了強密碼的重要性。與數字、大小寫字母和特殊字元一起使用超過8個字元（建議使用12+字元）。

轉到“開始”選單或開啟執行提示（Windows鍵+R）並鍵入“理學碩士”開啟本地安全策略選單。

到達後，展開“本地策略”並單擊“使用者許可權分配”

雙擊右側列出的“允許透過遠端桌面服務登入”策略。

我們建議刪除此視窗中已列出的兩個組：管理員和遠端桌面使用者。之後，單擊“新增使用者或組”，手動新增要授予遠端桌面訪問許可權的使用者。這不是一個必要的步驟，但它可以讓您更強大地控制哪些帳戶可以使用遠端桌面。如果將來，你出於某種原因建立了一個新的管理員帳戶，卻忘了在帳戶上輸入一個強密碼，那麼如果你從未費心從這個螢幕上刪除“Administrators”組，那你就是在向全世界的駭客開放你的計算機。

關閉“本地安全策略”視窗，然後透過鍵入“”開啟本地組策略編輯器gpedit.msc軟體”進入執行提示或“開始”選單。

開啟本地組策略編輯器後，展開“計算機策略”>“管理模板”>“Windows元件”>“遠端桌面服務”>“遠端桌面會話主機”，然後單擊“安全”。

雙擊此選單中的任何設定可更改其值。我們建議改變的是：

設定客戶端連線加密級別–將此設定為高級別，以便您的遠端桌面會話使用128位加密進行保護。

需要安全的RPC通訊–將此設定為已啟用。

需要為遠端（RDP）連線使用特定的安全層–將其設定為SSL（TLS 1.0）。

需要使用網路級身份驗證對遠端連線進行使用者身份驗證–將此設定為啟用。

一旦進行了這些更改，就可以關閉本地組策略編輯器。最後一個安全建議是更改遠端桌面偵聽的預設埠。這是一個可選步驟，並被認為是一個透過模糊實踐的安全措施，但事實是，更改預設埠號將大大減少您的計算機將收到的惡意連線嘗試的數量。您的密碼和安全設定需要使遠端桌面無論監聽哪個埠都不受攻擊，但如果可以的話，我們還可以減少連線嘗試的次數。

透過模糊性實現安全：更改預設rdp埠

預設情況下，遠端桌面監聽埠3389。選擇一個小於65535的五位數的數字，用於自定義遠端桌面埠號。記住這個數字，透過在執行提示符或開始選單中鍵入“regedit”來開啟登錄檔編輯器。

當登錄檔編輯器開啟時，展開HKEY\ U LOCAL\ U MACHINE>SYSTEM>CurrentControlSet>Control>Terminal Server>WinStati***>RDP Tcp>然後雙擊右側視窗中的“PortNumber”。

開啟PortNumber登錄檔項，選擇視窗右側的“Decimal”，然後在左側的“Value data”下鍵入五位數字。

單擊“確定”，然後關閉登錄檔編輯器。

因為我們已經更改了遠端桌面使用的預設埠，所以我們需要配置Windows防火牆來接受該埠上的傳入連線。轉到“開始”螢幕，搜尋“Windows防火牆”並單擊它。

當Windows防火牆開啟時，單擊視窗左側的“高階設定”。然後右鍵單擊“入站規則”並選擇“新建規則”

彈出“新建入站規則嚮導”，選擇埠，點選下一步。在下一個螢幕上，確保選擇了TCP，然後輸入前面選擇的埠號，然後單擊next。再單擊“下一步”兩次，因為接下來幾頁上的預設值就可以了。在最後一頁上，為這個新規則選擇一個名稱，例如“Custom RDP port”，然後單擊finish。

最後一步

您的計算機現在應該可以在您的本地網路**問，只需指定計算機的IP地址或名稱，在這兩種情況下，後跟冒號和埠號，如下所示：

要從網路外部訪問計算機，很可能需要轉發路由器上的埠。之後，您的PC應該可以從任何具有遠端桌面客戶端的裝置進行遠端訪問。

如果您想知道如何跟蹤誰登入到您的PC（以及從何處登入），可以開啟事件檢視器檢視。

開啟事件檢視器後，展開“應用程式和服務日誌”>“Microsoft”>“Windows”>“TerminalServices LocalSessionManger”，然後單擊“操作”。

單擊右窗格中的任何事件以檢視登入資訊。