熟悉微软产品，现为"技术中国"编辑，也是"51CTO.Com"的论坛版主。有部署大型网络和处理突发事件的经验，曾担任过多家网站的管理员与安全顾问，有丰富的管理站点的经验，熟悉多种站点系统，并能很好的应用，现在在对无线网络进行研究，并且熟悉黑客技术，能很好的处理攻击事件，写过一些基于WINDOWS下的配置和安全管理的文章，翻译过一些优秀的技术文章。

如果您是使用Windows Server 2003的话，那么你应该知道终端服务在Windows Server 2003有了很大的提高。终端服务在Windows Server 2003中有了新的设计，远程桌面（Remote Desktop）取代了Windows 2000 Server中的终端服务远程管理的模式，客户端与服务器之间的加密措施有了很大的提高。而且在组策略中，终端服务有了较强的提升。在Windows Server 2003中，又有新的管理工具，这些工具包括终端服务组策略、终端服务 WMI 提供程序、终端服务配置工具、到本地用户和组以及 Active Directory 用户和计算机的终端服务扩展。

终端服务添加和改进的功能

在Windows Server 2003和Windows XP中，终端服务是默认安装的。究其原因就是许多应用都依赖终端服务。包括快速切换用户（Fast User Switching）、远程协助（Remote Assistance）、远程桌面（Remote Desktop)、终端服务器（Terminal Server）等。但由于终端服务本身的安全性，造成基于该服务的其他应用的安全性造成了威胁，所以本文主要讲述的是如果加强终端服务的安全问题，并做出一些思考。远程桌面（Remote Desktop)、终端服务器（Terminal Server）在大多数情况下都是使用本地或远程组策略对象（Group Policy Objects,GPO）来管理用户访问权限的。远程桌面用于一些系统管理服任务，用来远程管理服务器配置和服务等。远程桌面只限两个用户的连接（另外还允许控制台的一个连接）。终端服务器用于许多并发用户的情况，可并发的用户数量一般却决于许可证数量和硬件的限制。远程桌面连接所采用的协议是（Remote Desktop Protocol,RDP）,在Windows Server 2003中使用的是最新的RDP 5.2协议。RDP5.2支持将服务从服务器映射到客户端，这意味着你可以快速的管理你的服务器上的服务。映射打印机端口、COM端口、剪贴板、驱动器等的都是RDP 5.2的范畴。（申明：腾讯的QQ软件中的远程连接不是采用RDP协议，它不能远程输入字符，复制文章等。只能用鼠标进行操作）我们可以使用这些功能完成从远程的服务端复制文本然后粘贴到本地计算机（如果你用过远程连接的就清楚了）。同样，对于基于RDP5.2的基本功能都能完美实现。

说明：如果你细心就会发现，远程桌面和终端服务器默认是不安装的。（请注意这里是终端服务器，不是终端服务，以免弄混淆）

安装终端服务器

上面我们提到的终端服务器是不被默认安装的，所以我们必须手动安装。

安装终端管理器之前请先考虑下是否允许终端服务器的普通用户和管理员连接至INTERNET。还有一点，Windows Server 2003默认安装了“IE增强的安全配置”，当你打开IE后你就会发现。如图：

该安全配置动态连接数据库由shdoclc.dll控制，连接res://shoclc.dll/hardAdmin.htm该设置默认将安全级别设置为“高”。安装了终端服务器会降低安全级别，所以要考虑到这一点。在您安装终端服务器的时候也会提示这点。对于服务器来讲，安全级别的高低决定了来自INTERNET信息的限制，如果安全级别较低，将有可能造成恶意ActiveX的安装和感染网页木马等。

安装流程：

打开控制面板，“添加或删除程序”，点击“添加/删除Windows组件”，选择“IE增强的安全配置”（IE Enhanced Security Configuration）。

管理员组使用：限制管理员组得用户浏览INTERNET和INTERNET网站。

其他所有用户组使用：限制所有其他用户组地用户浏览INTERNET和INTERNET网站。

去除“所有其他用户组”将解除对普通用户的限制。在“管理组”（ADMIN组）复选中保留的钩的话，则普通用户可以正常地浏览WEB站点，但是具有高级权限的管理员使用IE时将受到很多限制。

安装终端服务器，找到“终端服务器”组件并选中，由于该组件不需要占用资源，也不需要插入安装盘。说明一下，在安装终端服务器的120天期限后，终端服务器需要一个终端服务器许可证服务，许可证服务在Windows Server 2003中也有了很大的改变。

注意：在安装完终端管理器后，将不能使用远程桌面。由前面我们知道，这两个功能都基于RDP5.2的，所以在使用终端管理器时，将替代远程桌面的功能，后者只支持两个用户的连接。

之后安装向导将询问您的终端服务器对其他应用的权限许可，有两种选择，如图：

这两种方式设置定义了终端服务器用户访问注册表和特定的系统文件的权限。在完整安全模式下，用户将无法对特定应用程序的注册表键值和某些系统文件做写入操作。这种设置可能会使某些基于NT 4.0的计算机应用无法正常运行，因为他们要求本地管理员权限。在这种情况下，你依然可以使用完整安装模式，但是您必须修改该应用程序在注册表的值，修改它的安全入口控制设置（Security Access Control Entry），设置为允许终端用户写入。这样方法可能并不合适用于所有的情况，当你发现应用仍然无法进行时，你必须使用终端服务配置工具，将安全设置修改成宽松安全模式，后面我会详细说明。

松散安全性设置有可能会给系统带来一些危险，上面我已经提及过了，例如蠕虫、病毒或者黑客，它们有可能利用服务器的低安全设置，从而修改系统的设置。所以，这种模式不应该优先考虑。

启用远程桌面

方法一：在Windows Server 2003中，远程桌面和终端服务器安装位置是不同的。使用远程桌面可以打开“控制面板”，找到“系统”，然后点“远程”选项卡，选择“允许”，然后添加远程连接的用户。该用户将直接添加到本地计算机的用户组Remote Desktop Users中。默认情况下只有ADMIN权限以及Remote Desktop Users组的成员才能使用远程桌面。

方法二：在域或本地策略对象（GPO）中，给用户分配“允许通过终端服务器”的权限也可以完成配置。

以上我介绍了如何安装终端服务器和远程桌面的方法，并且说明了下应该注意的地方，下面，我将向大家介绍如何确保终端服务器的安全。

加强终端服务器的安全

用过终端服务器的人都应该知道，用户创建会话，使用NTFS的访问控制列表（ACLs）来控制数据的访问，使用活动目录的组策略对象（GPOs）和终端服务配置工具（TSCC）来配置终端服务器是加固终端服务器的安全性的主要方法。