任务目标

通过本地安全策略配置用户权限及远程访问安全，从而限制普通用户可执行的操作。

任务步骤

1.用户权限设置

在本地安全设置中，确保从远端系统强制关机权限、本地关机权限及取得文件或其他对象的所有权只分配给Administrators组。打开【本地安全策略】控制台，在【本地安全策略】控制台中选择【用户权限分配】，确保【从远端系统强制关机】、【关闭系统】、【取得文件或其他对象的所有权】权限只分配给Administrators组。如有其他用户组，可双击策略予以删除。

配置指定授权用户允许本地登录此计算机。在【本地安全策略】控制台中选择【用户权限分配】，双击配置【允许本地登录】权限给指定授权用户。

2.远程访问安全

只允许授权帐号从网络访问（包括网络共享等）此计算机。在【本地安全策略】-【用户权限分配】中，双击配置【从网络访问此计算机】权限给指定授权用户，根据需要移除Everyone等。

更改Windows Server系统内远程访问默认的3389端口。打开注册表，分别导航到两个位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\repwd\Tds\tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，将右侧的PortNumber的值改为新的端口号（建议将基数设置为十进制，Windows端口范围在0~65535之间）。

注：设置完成之后需要重启服务器才生效。如果设置防火墙的话，注意将新端口加入防火墙的白名单中。云服务器的安全组中也需要将新端口放通。有关防火墙配置的方法可参考课程60分钟带你玩转Windows防火墙。