使用IPSec对远程桌面连接做安全设置

北京SEO  IPSec的使用——对远程桌面连接做安全设置作者：北京SEO—阿呆  原创教程：使用IPSec对远程桌面连接做安全设置原创作者：阿呆——原创时间：2010-11-20作者说明：允许转载，但是转载请说明出处。实验所需：三台机器A（192.168.1.1）、B（192.168.1.2）、C（192.168.1.3）环境说明：A机作为提供[远程桌面连接]的机器；B机作为使用[远程桌面连接]对A机器进行管理的机器；C机作为使用[远程桌面连接]对A机器进行管理的另外一台机器；实验步骤：A机上的设置：1、首先使A机器能够对外提供[远程桌面连接]的服务。右键点击[我的电脑]—[属性]—[远程]，勾选[远程桌面]当中的[允许用户连接到此计算机]，如下图：北京SEO  弹出的对话框点[确定]即可，由于是实验，所以我没设置很强的密码，因此会弹出对话框。测试：这个时候测试一下，测试的结果应该是B机器跟C机器都能够正常连接到A机器的[远程桌面]的，这里我就不放图了，相信大家都会。2、配置A机器上的IPSec服务，详细步骤如下：a、[开始]—[运行]，输入“mmc”命令，打开[服务控制台]；b、然后在控制台中依次点击[文件]—[添加/删除管理单元]，在弹出的面板中，点击[添加]按钮，将[IP安全策略管理]添加进控制台，弹出对话框点[完成]，操作完成如下图：c、开始建立我们的IPSec策略（建立策略之前给大家一个方法，不要马上去制定策略，先制定IP筛选器，然后再去制定策略），步骤如下图：右键点击服务器，选择[管理IP筛选器表和筛选器操作]（这个步骤就是先创建我们的IP筛选器）-------------------------------------------------------------北京SEO  弹出的对话框中点击[添加]按钮-------------------------------------------------------------去掉[使用添加向导]前面的对勾，然后填入相应的筛选器名称及描述内容，然后点击[添加]按钮-------------------------------------------------------------北京SEO  筛选器属性按照上图设置-------------------------------------------------------------北京SEO  估计这里还有些人不明白，我具体说明一下。当我们要去使用服务器提供的某一个服务时，客户端都是随机产生一个大于1024，小于65535的端口去连接服务器的，所以这个地方，上面填任意，下面指定为3389，而3389是属于TCP协议下的，所以上面选择TCP协议。-------------------------------------------------------------[描述]选项卡随便填什么都可以，只是起到一种说明的作用，所以这里省略图片。点击[确定]回到[管理IP筛选器表和筛选器操作]选项卡，可以发现筛选器内已经多了一条我们刚刚自己建立的筛选器了——[任何人连接我的3389端口]，如下图：北京SEO  这里选中的筛选器即为我们刚刚新建立的上面我们添加的筛选器是任何人来连接我们的3389端口，下面我们还要再添加一条筛选器，第二条筛选器的对象是B机器，点击[添加]按钮，操作如下图：这里其实是重复刚刚的过程，填入筛选器名称跟描述信息后点击[添加]按钮-------------------------------------------------------------北京SEO  这个步骤就与上面的步骤不相同了，由于我在制定第二条筛选器的时候前面已经申明了对象是B机器，所以在这里我需要指定源地址即B机器的IP地址，目标地址还是[我的IP地址]不变。-------------------------------------------------------------关于协议选项卡和描述选项卡的设置，与上面的设置完全一样，因此图略。-------------------------------------------------------------北京SEO  点击确定，最后再次回到[管理IP筛选器表和筛选器操作]选项卡，可以看见现在IP筛选器表中又增加了一条我们自定义的筛选器。d、筛选器做完了，我们还需要到[管理筛选器操作]选项卡中新添加一个动作，步骤如下图：北京SEO  选中[管理筛选器操作]选项卡，把[使用“添加向导]前面的勾去掉，然后点击[添加按钮]-------------------------------------------------------------北京SEO  将上面的单选框选择到[阻止]上-------------------------------------------------------------北京SEO  在[常规]选项卡中，填入该动作的名称及描述，然后点击[确定]-------------------------------------------------------------北京SEO  这时我们会发现，在[管理筛选器操作]选项卡中，产生了我们刚刚制定的筛选器动作——阻止至此我们的筛选器配置完成，下面的步骤，是创建IP安全策略d、创建IP安全策略，步骤如下图：右键点击IPSec服务器，选择[创建IP安全策略]-------------------------------------------------------------北京SEO  弹出[IP安全策略向导]根据提示操作，我只放出需要修改的地方，不用修改的地方，图略。-------------------------------------------------------------点击[下一步]直到看见这个页面，我们选择第三项，然后填入我们验证密钥，北京SEO  这里为了实验方便，我这里将密钥设置为[123456]。注意：如果有未看见的图片，一律选择默认设置即直接按[下一步]。-------------------------------------------------------------现在开始编辑我们刚刚创建的[3389安全策略]。首先，将[使用“添加向导”]及动态前面的勾去掉，然后点击[添加]按钮。-------------------------------------------------------------北京SEO  选中我们自己创建的筛选器，该图中，选中的是[B机器连接我的3389]，对于这个筛选器，我们应该是允许连接的，所以会有如下操作：北京SEO  在[筛选器操作]选项卡内，选择[需求安全]-------------------------------------------------------------北京SEO  [在身份验证方法]选项卡中点击[添加]按钮，我们添加一个新的身份验证方法，如下图：北京SEO  在这里我们使用跟前面一样的验证方法——预共享密钥，设置跟刚才一样：123456北京SEO  添加了新的身份验证方法之后，我们将原有的[Kerberos]身份验证方法删除掉。-------------------------------------------------------------北京SEO  设置完成之后，我们会发现在我们自己创建的安全策略中拥有了自己的IP筛选策略，上面的步骤紧紧是做了B机器的访问策略，关于除B机器以外的人我们还没有限制，因此还需要做下面的步骤，操作如下：继续点击[添加]按钮北京SEO  然后选中我们刚刚自己建立的第二个IP筛选器即图中这个。-------------------------------------------------------------北京SEO  选中之后，切换到[筛选器操作]选项卡中，选择我们自己添加的筛选器操作——[阻止]，然后确定。北京SEO  这时我们的[3389安全策略]就已经配置完成，点击[确定]按钮。然后将该策略指派，那么A机器就开始受IPSec的验证保护了！指派的步骤如下图：至此A机器配置完成。