远程登录桌面？没我指定的IP可不行

　　作为学校网管，笔者最头疼的一件事就是服务器桌面被随意远程登录。如此一来，总有些不自觉的人会随便更改其中的东西。为了防范，笔者曾叮嘱那些有权登录的老师，不要随便将服务器的IP地址和密码告诉他人，但几次下来，效果并不好。于是笔者突发奇想，如果能制定一个规则，只允许指定的IP地址能远程登录桌面，岂不是会解决很大问题？经过反复研究，笔者终于发现，Windows系统提供的“IP安全策略”功能，其实可以很好地满足这一愿望。

　　1.新建IP安全策略

　　第一步：在“开始”菜单的搜索框中输入“本地安全策略”，回车，打开“本地安全策略”窗口。右击左侧的“IP安全策略，在本地计算机”项，在弹出的右键菜单中选择“创建IP安全策略”。打开“IP安全策略向导”对话框。

　　第二步：单击“下一步”按钮，在出现的“IP安全策略名称”对话框中，设置好策略名称（可根据策略的作用来设置，比如此处，我们设置策略的目的是为了只允许指定的IP可访问远程桌面，所以可将其名称设置为“指定IP可访问远程桌面”）。设置完毕，单击“下一步”按钮。第三步：在接下来的对话框中，取消对“激活默认响应规则（仅限于Windows的早期版本）”项的勾选，单击“下一步”按钮。在“正在完成IP安全策略制导”对话框中，勾选“编辑属性”项，单击“完成”按钮，完成设置过程。

　　2.新建IP筛选器

　　第一步：此时屏幕上会出现“指定IP可访问远程桌面属性”对话框，切换到“规则”标签，取消对“使用‘添加向导’”项的勾选，单击“添加”按钮。

　　第二步：在“新规则属性”对话框中，切换到“IP筛选器列表”标签，单击“添加”按钮，打开“IP筛选器列表”对话框，在“名称”文本框中，填写上筛选器名称，比如“允许指定IP远程访问服务器”，同时取消对“使用‘添加向导’”项的勾选，单击“添加”按钮，打开“IP筛选器属性”对话框。

　　第三步：切换到“地址”标签，单击“源地址”项下方的下拉箭头，在出现的下拉菜单中，选择“一个特定的IP或子网”，并在“IP地址或子网”文本框中，输入你要允许其远程桌面访问的某台PC的内网IP地址；单击“目标地址”项下方的下拉箭头，在出现的下拉菜单中，选择“我的IP地址”，同时取消对“镜像。与源地址和目标地址正好相反的数据包相匹配”项的勾选。

　　第四步：切换到“协议”标签，在“选择协议类型”下拉菜单中，选择协议为“TCP”；“设置IP协议端口”为“从任意端口”；同时选择“到此端口”项，在下方的文本框中输入端口为“3389”，设置完毕，单击“确定”按钮，返回上级界面，单击“确定”按钮，返回“新规则属性”对话框。

　　第五步：在“新规则属性”对话框中，单击“添加”按钮，然后用第二步、第三步介绍的方法，继续添加其他允许访问的内网IP地址，直到把所有允许访问的PC添加完毕。同时用第二步、第三步所说的方法，新建一个IP筛选器，分别设置其名称为“禁止允许以外的IP远程访问服务器”；“源地址”为“任意IP”，“目标地址”为“我的IP”。

　　3.为新建的IP筛选器添加筛选规则

　　第一步：在“新规则属性”对话框中，切换到“筛选器操作”标签，取消对“使用‘添加向导’”项的勾选，单击“添加”按钮，打开“新筛选器操作属性”对话框。

　　第二步：切换到“安全方法”标签，选择“阻止”项，然后切换到“常规”标签，设置“名称”为“阻止”，单击“确定”按钮。返回“新规则属性”对话框。

　　第三步：切换到“IP筛选器列表”标签，在列表中选择允许访问的筛选器名称（如“允许指定IP远程访问服务器”。切换到“筛选器操作”标签，单击“添加”按钮，然后用与第二步相似的方法，分别设置其“安全方法”和“名称”为“许可”、“允许”，单击“确定”按钮。

　　第四步：在“指定IP可访问远程桌面属性”对话框中，单击“添加”按钮，选择“禁止允许以外的IP远程访问服务器”，然后切换到“筛选器操作”标签，选择“许可”，确认后，返回“新规则属性”对话框，在列表中右击“指定IP可访问远程桌面”项，在弹出的右键菜单中选择“指派”，无需重启计算机即可令设置生效。

　　|Tips|

　　Windows7无法记录远程登录者的IP，这对网管来说不是件好事，其实我们可以自己动手，编写一个记录日志，然后通过设置任务计划的方法，达到自动记录的目的。首先建立一个存放日志的目录，如：C：/RDP。然后在“C：/RDP”目录下创建一个名为“RDPlog.txt”的文本文件“C：/RDP/RDPlog.txt”，同时在“C：/RDP”目录下创建一个名为RDPlog.bat的批处理文件，内容如下：

　　date/t>>RDPlog.txt

　　time/t>>RDPlog.txt

　　netstat-n-ptcp|find“：3389”>>RDPlog.txt

　　start Explorer

　　最后进入“控制面板”，选择“管理工具/计划任务”，按提示新建一个任务，将启动时间设置为“用户登录时”，启动的程序设置为“C：RDP
dplog.bat”，保存使之生效即可。

　　文/风刀