注册表法优化设置WindowsXP的远程访问.docx

注册表法优化设置Windows XP的远程访问 马宪廷 Windows XP提供的“远程访问”功能在给我们的系统维护和管理带来极大方便的同时，但也产生了许多安全隐患。为此，笔者将介绍一下如何通过修改注册表的方式来提升Windows XP的安全*能，让大家使用起来更加放心，同时还对一些相关的网络功能进行了优化，使系统的网络*能进一步得到了加强。 一、远程控制设置 您可以通过用户权限（或不通过用户权限）来创建远程控制。远程控制的级别有两个：一个是“查看会话”级别，此级别只允许您查看用户的会话；另一个则为“完全控制”级别，此级别允许您与用户的会话进行交互。配置远程控制的级别以及用户对终端服务用户会话进行远程控制的权限。可以通过修改注册表来实现，方法是： 在注册表编辑器中，逐级展开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindows NTTerminal Services”分支，然后在右侧窗格中新建DWORD值“Shadow”。设置为“0”则代表“不允许远程控制”；设置为“1”则代表“经用户授权完全控制”；设置为“2”则代表“不经用户授权完全控制”；设置为“3”则代表“经用户授权查看会话”；设置为“4”则代表“不经用户授权查看会话”。 提示：同样也可以在“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支下进行设置，但在此分支下的设置优先于上述分支下的设置。 二、禁止添加/删除LAN连接（或远程访问连接）的组件 为了限制添加（或删除）用于LAN连接（或远程访问连接）的网络组件，可以通过修改注册表来满足您的需要，具体方法是：在注册表编辑器中逐级展开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsNetwork Connections”分支。然后在右侧窗格中新建一DWORD值“NC_AddRemoveComponents”，将其值设置为“0”即可。 如果再新建一DWORD值“NC_EnableAdminProhibits”，并将其设置为“1”，则会将连接组件的“安装”和“卸载”按钮禁用。并且不允许管理员访问“Windows组件向导”中的网络组件。 提示：若要禁止访问LAN（或远程访问）连接组件的属*，只要分别新建 “NC_LanChangeProperties”和“NC_RasChangeProperties”DWORD值，并且将其设置为“0”即可。 三、允许提供远程协助、远程请求协助 专家（支持人员或IT管理员）能否为此计算机提供远程协助；或者是否可将本地计算机设置成“请求的远程协助”。也即一台电脑的用户明确请求另一方（称为“专家”）的帮助。可以通过修改注册表来实现，方法如下： 在注册表编辑器的左侧窗格中逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支。在右侧窗格中修改（或创建）如下DWORD值： “fAllowFullControl”：设置为“1”则表示允许帮助者远程控制此计算机；设置为“0”则表示允许帮助者只查看此计算机。 “fAllowToGetHelp”：设置为“1”表示允许远程连接；设置为“0”则表示禁止远程连接。 “MaxTicketExpiry”：设置为“0”表示支持时间最短；设置为“1440”则表示支持时间最大。默认值为30（天）。当支持时间（帮助请求）过期时，用户必须再次发送请求后，专家才能与其计算机连接。 “MaxTicketExpiryUnits”：设置为“0”则表示支持时间单位为（分钟）；设置为“1” 则表示支持时间单位为（小时）；设置为“1” 则表示支持时间单位为（天）。 “fAllowUnsolicited”：设置为“1”表示允许远程帮助；设置为“0”则表示禁止远程帮助。 “fAllowUnsolicitedFullControl”：设置为“1”表示允许远程控制你的计算机；设置为“0”则表示禁止远程控制你的计算机。 提示：发送一个请求并没有明确授予专家与你的计算机连接或控制你的计算机的权限。当专家尝试连接时，您仍然有机会接受（或拒绝）该连接，而只是授予专家查看用户桌面的权利。倘若您允许进行远程控制，您随后仍然要点击一下按钮才能授予专家远程控制桌面的权利。 四、不允许新客户连接 此设置用于禁止新客户连接到服务器。可在不终止现有会话的情况下阻止终端服务器接受新的连接，在新用户退出系统（或连接超时）之前，使现有连接保持活动状态。在注册表编辑器中的实现方法为：逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支。在右侧窗格中新建一DWORD值“fDenyTSConnections”。如果将其设置为“1”，终端服务器保持活动状态，但不接受新连接；设置为“0”终端服务器可接受在“连接限制数量”中设置的多个新客户端的连接。 提示：由于此设置生效时用户无法重新连接到已断开连接的会话，你可能需要在终端服务会话期间从“关闭Windows”对话框中删除“断开连接”选项，若要执行此操作，请从“开始菜单”设置中启用“删除断开连接”选项即可。 五、限制用户到一个远程会话 默认情况下，终端服务允许为每个远程用户同时存在的活动会话（或断开连接的会话）维持无限长的时间。若要将同时存在的远程会话的数量限制为每个用户一个会话。可以通过修改注册表来实现，方法是：在注册表编辑器中逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支。在右侧窗格中新建DWORD值“fSingleSessionPerUser”，将其值设置为“1”即可。 这样，以远程方式登录到终端服务器的用户仅可在服务器上维持一个会话。倘若用户使此会话保持在断开连接状态，当用户在下次登录时，将自动连接到那个会话。如果将上述的值设置为“0”则实施无限制同时连接的默认行为。 六、限制连接数量 由于限制会话数量可减少系统资源的占用，从而增强系统*能。您可以通过修改注册表来达到这个目的。方法是：在注册表编辑器中逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支。在右侧窗格中新建DWORD值“MaxInstanceCount”，该值的取值范围为“1999999”，当设置为“999999”时则表示无限制连接。例如设置为“5”，倘若超过此值尝试连接时，用户会接收到一条错误信息，此消息告诉他们服务器繁忙，以后再重试。 提示：设置允许最大的连接数专门用于终端服务器，即用于运行安装有终端服务的Windows XP服务器。 七、在控制台（MMC）中允许/禁止使用远程访问 如果想要在控制台（MMC）中允许使用远程访问，只要在注册表编辑器中逐级展开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC5880CD5C-8EC0-11d1-9570-0060B0576642”分支，然后在右侧窗格中新建DWORD值“Restrict_Run”，并且将其值设置为“0”即可。如若禁止使用，只要将其值设置为“1”即可。 八、在控制台（MMC）中允许/禁止使用远程桌面 倘若要在控制台（MMC）中允许使用远程桌面，只要在注册表编辑器中逐级展开“HKEY_CURRENT_USERSoftwarePoliciesMicrosoftMMC3D5D035E-7721-4B83-A645-6C07A3D403B7”分支，然后在右侧窗格中新建DWORD值“Restrict_Run”，并且将其值设置为“0”即可。如若禁止使用该管理单元，只要将其值设置为“1”即可。 九、设置可保留的带宽限制 在默认情况下，QoS数据包调度程序将系统连接带宽限制在20%以内，不过你可以通过修改注册表的方式来改变这个值，具体方法是：在注册表编辑器中，逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsPsched”分支，然后在右侧窗格中编辑DWORD值“NonBestEffortLimit”，在此您可以设置百分比数值为“0”，以提升网络连接速度。 提示：此值限制系统上运行的所有程序共同占用的带宽，不设置此项则系统使用的默认值为“20%”。 十、限制最大颜色深度 对于连接到终端服务器（或远程桌面）的任何连接的颜色深度加以限制的话，一方面除了可以减轻服务器的负担之外；另一方面，还可以增强连接*能，特别是对于慢速连接。为了达到这个目的，请在注册表编辑器中，逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支，然后在右侧窗格中新建DWORD值“ColorDepth”，可以根据实际需要将其值设置为“1”、“2”、“3”或“4”中的一个，这些数值则分别代表8、15、16和24比特颜色深度。 提示：连接的实际颜色深度是由客户端可用的颜色支持来确定的，倘若不进行设置，连接的颜色深度为终端服务模式（计算机上运行的Windows版本的默认值，比如笔者的机器为“3e7”），除非用户在连接时指定了较低级别的颜色深度。 十一、强制删除远程桌面的墙纸 若要强制删除远程桌面的墙纸，可以通过修改注册表来实现。具体方法是：在注册表编辑器中逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services”分支。在右侧窗格中新建DWORD值“fNoRemoteDesktopWallpaper”，将其值设置为“1”即可。 十二、禁止使用Internet连接共享 “Internet连接共享”（ICS）允许管理员将其系统作为小网络的Internet网关进行配置，并提供诸如名称转换和通过DHCP访问局部专用网络这样的网络服务。倘若想限制一般用户使用“Internet连接共享”功能，可以通过修改注册表的方式来实现，具体方法是：打开注册表编辑器，在左侧窗格中逐级展开“HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsNetwork Connections”分支，将右侧窗格中的DWORD值“NC_ShowSharedAccessUI”设置为“0”即可（倘若没有该键值则建立之，下文同）。 这样，LAN连接（或远程访问