远程桌面登录（mstsc）是管理Windows服务器最主要的方式，于是很多不法分子打起了通过远程桌面入侵的歪心思。他们采用暴力破解或撞库的方式破解系统账户密码，悄悄潜入服务器。暴力破解远程桌面效果如下图一。

（图一：暴力破解远程账户和密码）

同时层出不穷的远程代码执行漏洞也严重威胁着服务器的安全，攻击者可以利用远程代码执行漏洞在服务器上执行任意代码，继而完全控制服务器。一般来说，只要Windows服务器启用了远程桌面服务，就可能出现远程代码执行漏洞。

那么如提升远程登录安全防护能力呢？本文就对几种常见的防护方式进行讲解分析。

一、 关闭远程桌面

是的，就是关闭远程桌面服务，任何人都没法远程登录。

这种主要适合云服务器，管理员可以通过云厂商控制台的“VNC登录”进行远程管理服务器，操作虽然没有直接远程登录方便，但也能完成绝大部分操作，而且绝对安全。至于远程代码执行漏洞，更不用担心了，因为远程端口没有开放，黑客压根触碰不到此漏洞。

对于没有VNC的服务器，可以采用人工在线开关远程桌面操作，需要远程时开启远程桌面服务，不需要远程时关闭远程桌面服务，需要借助第三方软件才能实现，可以使用《护卫神.防入侵系统》在线开关远程桌面。

二、 限制终端计算机名

对远程终端设备的名称进行限制，只有设备名称（如计算机名）匹配的终端才能远程登录。

这种方法从10多年前起就非常流行，能很大程度提升远程桌面安全。但也存在一些问题，例如拦截滞后。该模式是账户密码验证通过以后才触发，因此黑客可以成功暴破账户密码。同时远程端口一直处于开放状态，黑客可以成功利用远程代码执行漏洞。

三、 登录验证码

远程登录时，先输入一个随机验证码，验证通过后，才能进入输入账户密码的页面。

此方法在终端计算机名的基础上又提升了很大的安全性，因为黑客暴力破解不了。但是远程端口仍然一直处于开放状态，黑客可以成功利用远程代码执行漏洞。

四、 终端IP限制

对远程终端设备的IP地址进行限制，只有IP地址匹配的终端才允许登录。

这是目前最为安全的方法，因为IP地址没法伪造，黑客就没法暴力破解。同时对IP不匹配的终端来说，服务器的远程端口是关闭的，因此黑客也不能通过远程代码执行漏洞进行入侵。

唯一的问题就是：绝大部分用户都是家庭宽带，没有独立IP，如何动态设置授权IP呢？

这个就需要使用第三方安全软件实现，推荐使用《护卫神.防入侵系统》，因此其不仅支持IP，还支持IP段和动态域名，更支持区域，非常有特色。如下图一，限制只允许“成都”地区IP远程登录，非成都地区登录时远程端口都不对其开放。黑客和你同所城市的可能性非常小，几乎为零，因为黑客为了不被抓捕，都会使用国外服务器来暴力破解。

（图二：只允许成都地区远程登录服务器）

以城市进行整体限制，既解决没有独立IP的困扰，也不会对运维人员产生额外的工作。如果觉得整所城市开放不安全，没关系，还可以限制终端计算机名，“IP+计算机名”，这样就绝对安全了！如下图三，护卫神防入侵系统提供了多种防护措施，可以叠加使用，让安全加倍。防护功能包括：开/关远程桌面服务、限制终端IP/区域、限制终端计算机名、限制远程登录时间、防暴力破解，以及登录消息通知。

（图三：护卫神远程桌面防护）

通过“登录消息通知”模块，可以及时知晓谁登录了服务器，让安全一目了然，如下图四。

（图四：远程登录消息通知）

本文对四种提升远程登录安全的方法进行了详细的分析，请根据你的需要，选择适合自己的方法。