桌面管理和控制

桌面管理和控制（精选三篇）

桌面管理和控制 篇1

1998年美国国家安全局制定的《信息保障技术框架》 (Information Assurance Technical Framework, IATF) , 提出了“深度防御策略”。该保护框架将防御分成几个领域, 包括:网络与基础设施防御、网络边界防御、局域计算机环境防御和支撑性基础设施的深度防御。

从国内网络安全建设的实际情况看, 传统的安全防护以企业网络边界和核心作为防护重点。但网络环境日趋复杂, 随着以计算机终端为主要目标的蠕虫攻击、木马破坏、黑客入侵等各种安全事件的泛滥, 以往围绕网络部署的安全措施已显得力不从心。

而计算机终端作为信息存储、传输、应用处理的基础设施, 其自身安全性涉及到系统安全、数据安全、网络安全等各个方面, 任何一个节点都有可能影响整个网络的安全。因此, 有越来越多的用户和厂商开始调整安全防护战略, 将着眼点重新回归到桌面终端安全上来, 这使得桌面终端安全成为业界重要的研究课题。

桌面终端安全管理需求中, 安全准入控制由于其独特的技术视角和有效的控制策略, 成为桌面安全最热门需求之一。网络安全准入控制可以从身份/安全鉴别、安全准入控制、自动隔离/修复、集中审计等4个方面为终端安全管理提供帮助, 这也恰好是桌面终端安全管理的最核心问题, 因此, 安全准入控制技术经过短短几年的发展后, 即将成为大型企业用户解决桌面终端管理问题的必备手段之一。

1 安全准入控制

网络安全准入控制最早由思科发起, 后来联合多家厂商参加的一项旨在防止病毒和蠕虫等新兴黑客技术对企业安全造成危害的计划。借助准入控制, 用户可以只允许合法的、值得信任的桌面终端接入网络, 而不允许其他设备接入。网络将按照客户制定的策略实行相应的安全准入控制决策, 即允许、拒绝、隔离或限制。

2 当前主流安全准入控制技术分析

2.1 IEEE802.1x

IEEE802.1x是IEEE2001年6月通过的基于端口访问控制的接入管理协议标准。通俗来说, IEEE802.1x是一种基于端口的网络安全准入控制技术, 在LAN设备的物理接入级对接入设备进行认证和控制, 此处的物理接入级指的是LAN Switch设备的端口。连接在该类端口上的用户设备如果能通过认证, 就可以访问LAN内的资源;如果不能通过认证, 则无法访问LAN内的资源, 相当于物理上断开连接。802.1x协议的体系架构如图1所示。

IEEE802.1x的体系结构中包括3个部分:请求者系统、认证系统、认证服务器系统。

请求者发送一个“EAP响应/身份认证”数据包给认证系统, 然后传送至认证服务器。

认证服务器发回一个挑战给认证系统, 认证系统通过IP接收该挑战并将它重组为EAPo L, 然后再发送给申请者。

申请者响应认证系统发送来的挑战, 并将响应传送给认证服务器。认证服务器使用特定认证算法来检验客户身份, 这可以通过数字证书或EAP认证类型实现。

IEEE802.1x协议的实现比较简单。另外, IEEE802.1x的认证体系结构中采用了“可控端口”和“不可控端口”的逻辑功能, 从而可以实现业务与认证的分离。

IEEE802.1x协议是一种基于身份信息的认证技术, 接入设备只有提供有效的身份信息, 才被允许接入网络。这就将以往“先接入, 后判断合法性”的网络安全技术变为“先判断合法性, 后接入”的工作方式, 从而大大增强了网络的安全性。但是, 由于该协议是一种基于端口的认证, 因此, 认证的粒度较粗。对于一个交换机端口上连接多台计算机的情况, 只要其中一台计算机通过认证, 端口便处于打开状态, 这样其他计算机也就获得了网络访问的能力。这也是该认证协议的一个无法克服的缺点。

2.2 其他桌面终端准入技术

Cisco NAC是构建在思科公司领导的行业计划之上的一系列技术和解决方案。实施Cisco NAC的客户仅允许遵守安全策略的可信终端设备 (PC、服务器及PDA等) 访问网络, 并控制不符合策略或不可管理的设备访问网络。

Microsoft NAP为企业提供了一种基于策略的灵活的体系结构, 可防止员工、供应商和访问者有意或无意地将不符合安全策略的计算机连接到企业的网络。

可信任网络连接 (Trusted Network Connect, TNC) 是可信计算组织 (Trusted Computing Group, TCG) 推出旨在保证网络的安全性和完整性的一个开放的工业标准。该标准可配合TPM平台 (可信任平台) , 实现对接入终端的身份认证和安全认证。这是继Cisco NAC技术和Microsoft NAP技术之外的第3种网络安全准入控制技术。

2.3 各种技术分析

其实Cisco NAC、NAP和TNC技术的目标和实现技术具有很大的相似性。

首先, 这3种技术的目标都是保证桌面终端的安全接入, 即当桌面终端接入本地网络时, 通过特殊的协议对其进行校验, 除了验证用户名密码、用户证书等用户身份信息外, 还验证终端是否符合管理员制定好的安全策略。在验证终端主机没有安全问题后, 再允许其接入被保护的网络。

其次, 3种技术的实现思路也比较相似, 都分为客户端、策略服务以及安全准入控制3个主要层次。但是, 由于3种技术的发布者自身的背景, 3种技术又存在不同的偏重性, 都不同程度地存在一定的缺陷。也就是说, 这些安全准入控制技术是不全面的, 无法适用于复杂的用户环境。

微软依靠DHCP的代理服务器, 利用对IP地址分配的过程强制执行安全策略的NAP解决方案, 无法对配置静态IP地址的计算机进行控制, 只要计算机设置成静态IP地址, 就可以自由访问网络资源。

思科利用交换机来实现的NAC解决方案, 由于需要思科交换机来支持, 如果企业混合使用不同厂家的路由交换设备, 黑客总是可以找到不能被NAC管理的交换机, 利用MAC地址的欺骗手段, 冒充已经经过认证的计算机, 在网络里进行攻击。

TCG的TNC解决方案, 由于必须依赖TPM模块提供完整性校验, 而目前的计算机绝大多数都不配置该模块, 从而导致其无法使用。

另外, 以上技术方案, 都无法解决不支持802.1x协议的网络设备的问题, 如非智能交换机和HUB设备等, 因而, 对于从这些设备上接入网络的计算机, 是无法得到有效的控制的。

3 基于IP接入的安全准入控制管理

桌面终端标准化管理系统是国网电力科学研究院提出并设计的一套桌面终端安全管理系统, 作为国家电网公司SG186信息化工程重要项目之一, 该系统从资产管理、软件维护、补丁分发、安全准入控制、安全监控与审计、违规外联、远程维护等方面为用户提供了完整的桌面终端管理解决方案。该系统在桌面终端的安全准入控制方面, 提出了基于IP接入而实现的更为完善的解决方案。

基于IP接入的安全准入控制解决方案, 是一种基于“主动防护”的终端安全管理理念的安全准入控制解决方案。在保护用户现有网络投资的情况下, 提供了适用于大部分网络环境下的终端计算机的安全准入控制能力。与当前其他主流安全准入控制解决方案相比, 弥补了其他安全准入控制方案的漏洞, 又有效地保护了用户现有网络投资, 从而具有较高的性价比。

当用户网络环境不支持基于MAC地址的802.1x认证方式时, 往往在同一个交换机端口下会接入一些“假冒身份”的计算机, 这些计算机混同在合法计算机之中, 也获得了网络接入权限以及网络访问能力。在这种情况下, 会给网络带来很大的安全隐患。为解决这个问题, 系统采用了IP通信控制技术。其根本特点是当非法主机与合法主机进行IP通信时, 合法主机会要求非法主机提供其身份证明, 如果非法主机无法提供有效的身份证明, 合法主机将拒绝与其建立通信联系。合法主机之间由于相互可以验证身份, 因此合法主机之间的IP通信是被允许的。

合法主机之间的通信采用PKI数字证书来标识双方的身份。另外, 当合法主机建立IP通信时, 系统还可以对通信数据进行加密。从而保证了非法主机无法监听和窃取这些通信数据, 进一步保证了网络的安全性。

系统的I P通信控制有2种措施, 一种是身份认证, 另一种是数据加密。系统采用了专有的协议, 该协议负责对IP数据进行封装。封装后的IP数据携带有认证信息, 且IP数据被加密 (见图2) 。

认证头的目的是用来增加IP数据包的安全性。认证头提供无连接的完整性、数据源认证服务;认证头提供IP数据包的完整性和身份认证机制, 但是不提供数据机密性保护。系统验证头提供了2种认证算法:一种是基于对称加密算法 (如DES) ;另一种是基于单向哈希算法 (如MD5或SHA-1) 。系统验证头对上层协议数据 (传输层数据) 和IP头中的固定字段提供认证保护。系统支持基于PKI数字证书的身份认证方式和共享密码的认证方式。前者安全性更高。

加密头用于提高Internet协议 (IP) 的安全性, 它可为IP提供机密性、数据完整性等安全服务功能。其中, 数据机密性是加密头提供的基本功能, 数据完整性检验是可选的。加密头将需要保护的用户数据进行加密后再重新封装到新的IP数据包中。从而保证了IP数据包网络传输的安全性。

系统通过对IP层数据附加认证头和加密头的方式, 将传统的IP协议的开放性变为私有协议。这种协议只能被安装了系统代理程序的计算机所识别。也就是说, 所有安装了系统代理程序的计算机之间都可以进行IP数据通信, 而未安装系统代理程序的计算机则无法与安装代理程序的桌面终端通信。

这种机制, 保证了接入终端的通信控制。如果接入终端是非法的, 可以通过安装认证控制, 保证接入终端无法安装系统代理程序, 因而也就无法与接入网络的合法计算机进行通信, 减少了“假冒身份”计算机给网络带来的安全风险。

系统的部署和实施与其他安全准入控制系统相比, 成本相对较低。在部署和实施本系统前, 用户环境需满足如下条件:

(1) 如果需要启用接入终端的身份认证, 网络设备必须启用802.1x协议支持;

(2) 如果需要启用接入终端自动隔离和修复功能, 网络设备不需启用Guest Vlan支持;

(3) 如果不需要身份认证, 而仅对接入终端的安全性进行检查, 上述条件则可以取消。

可以看到, 系统的部署实施对用户环境的要求相对较低。

系统部署由以下3部分组成:

(1) 系统核心管理服务器:服务器用于满足接入终端的安全策略要求, 并将这些策略分发到安装有系统安全代理的接入终端。策略服务器一般部署在为系统划分的独立区域;

(2) Radius认证服务器:认证服务器用于对安全代理收集的桌面终端身份信息、安全状态进行认证, 并根据认证结果通知安全准入控制点是否允许该计算机接入网络;

(3) 安全代理:该代理程序用于完成接入终端的身份信息收集、安全状态信息收集以及强制启用IP通信控制 (IP数据认证与加密) 。安全代理部署在所有需要访问网络资源的接入终端上。

4 结语

桌面终端标准化管理系统基于IP接入提出桌面终端安全准入控制管理, 与其他技术方案相比, 基于802.1x认证方式之上, 采用IP通信控制技术来解决非法桌面终端通过合法桌面终端进行验证后接入信息内网的问题, 有效地保护了内网信息资源, 从根本上杜绝来自外网的安全威胁, 提高了内网的安全防护能力。但是, 桌面终端的安全准入也是一门长期发展的技术, 随着更多的厂商、企业及用户对安全准入关注度的提升, 相信业内也会有更行之有效的技术来对非法桌面终端进行管控。

摘要：目前多家国内外网络设备制造商或安全厂商在802.1x基础之上, 利用软件或硬件提出带有本身产品特色的各种桌面终端安全准入控制解决方案。但各种主流的安全准入控制技术不同程度地存在漏洞, 无法适用于复杂的不同用户的具体环境。基于IP接入技术, 提出以“主动防护”为终端安全管理理念的安全准入控制解决方案, 具备了适用于大部分网络环境下的终端计算机的安全准入控制能力, 能够有效保护用户现有网络投资, 且弥补其他安全准入控制方案的漏洞, 从而实现较高性价比的终端安全准入控制管理。

系统技巧远程桌面实现远程控制 篇2

场景1：和客户签合同时，小王才想起未打印好的合同还放在公司的办公室里，不过不要紧，使用客户的计算机，利用远程桌面连接到办公室自己的计算机上，启动自己的WPS 2000并打开合同文档（注意，合同文档为“*.wps”格式，并且客户的计算机上并没有安装WPS应用程序），单击“打印”。稍后，一份合同就在客户的打印机上打印出来了。

场景2：同事小毛用Microsoft Word写文档忙了一下午，虽然下班时间过了3个小时了，明天要用的发言稿却还没写完，又赶上有急事必须回家。甩手关门（注意，出门前没有关闭Word），回家办完急事后，不紧不慢地拿出了本本，连接到办公室的电脑后，Microsoft Word中没编辑完的发言稿光标还一闪一闪地眨着眼睛，似乎正在期盼着自己的主人。

场景3：朋友们来了要聚会，扫兴的是家中的电脑上没有一首轻音乐，这岂能难倒做网管的小张？使用远程桌面，办公室电脑的桌面瞬间显示在了家里电脑的屏幕上，打开远程的Windows Media Player（注意，播放的文件也在远程电脑上），办公室电脑上的轻音乐从家中的音响系统中悠扬地响了起来。

远程桌面基于“终端服务”技术（注：在Server的Windows版本中，这一技术叫做终端服务，提供这一服务的主机叫做终端服务器）。当你从基于Windows的客户机或其它能使用远程桌面协议（RDP）的终端使用远程桌面时，有许多本地资源（客户机上的资源）可以在远程主机中使用，这些资源包括：

本地文件系统 远程桌面可以使本地的驱动器映射在远程主机的资源管理器中，这使得本地文件系统可用于终端会话中的远程电脑上，客户机文件系统可以通过远程主机进行访问，

本地打印机 这会将打印作业从远程主机路由到与本地计算机连接的打印机上（如场景1）。客户机登录到远程主机时，就会检测本地打印机，并将合适的打印机驱动程序安装到远程主机上。

本地物理端口及设备 这使得运行在远程主机的应用程序能够访问客户机上的串行和并行端口，端口重定向可以使这些端口能够在远程主机上访问和操作设备，例如，远程主机的应用程序可使用连接在本地端口上的条形码阅读器或扫描仪。

本地音响系统 你可以运行远程主机上的多媒体播放程序，然后从本地计算机的音箱中欣赏音乐（如场景3）。

本地剪贴板 准确地说，远程主机使用的仍然是自己的剪贴板，只不过在远程桌面中主机剪贴板的内容能与客户机剪贴板保持同步，也就是客户机和远程主机能够共享剪贴板内容，这样，就可从“远程桌面连接”窗口内的文档中复制或剪切文本和图形，然后将其粘贴到本地计算机上的文档中。

经过上面的介绍，你可能已对远程桌面的原理和功用有了一个大概的认识。下面，我们就来介绍使用远程桌面的具体操作方法。

远程桌面使用的协议

控制远程桌面助力系统管理 篇3

控制文件传输

进行文件传输，是远程桌面连接功能的主要任务之一，不过在默认状态，远程桌面连接程序并不支持文件传输，我们只有在需要的时候，自己动手、开启文件传输功能，才能让远程桌面支持文件传输操作。在开启文件传输功能时，我们可以按照如下步骤来进行：

首先打开本地客户端系统桌面上的“开始”菜单，从中选择“程序”“远程桌面连接”选项，弹出远程桌面连接设置对话框，点击“选项”按钮，在其后界面中点选“本地资源”选项卡，弹出如图1所示的选项设置页面；

其次将“磁盘驱动器”选中，如果希望能使用远端主机系统的打印机时，也可以一并选中“打印机”选项；另外，我们还可以在“键盘”位置处，选中“应用Windows键组合”到“远程计算机上”，如此一来就能将本地系统的所有Windows快捷键操作，同时应用到远端系统桌面上，确保操作更加得心应手。

接着返回到“常规”选项设置页面，输入远端主机系统的IP地址、端口号码、登录账号与密码，同时单击“连接”按钮，开始进行远程桌面连接；等到远程桌面连接成功后，我们就能在本地系统与远端系统之间进行文件传输操作了，例如可以进行文件复制、剪切、移动、删除等操作。当然，文件传输操作结束后，我们必须记得及时取消远程桌面连接程序的文件传输功能，以防止恶意用户通过该功能窃取重要数据或文件。

控制并发连接

WinXP系统默认不允许多个用户利用远程桌面连接程序与之建立连接，当有其他用户尝试与WinXP系统建立远程连接时，该系统会自动强行断开当前已登录用户的远程连接。为了让WinXP系统支持多用户连接，我们可以按照下面的操作，来开启该系统的远程桌面连接会话并发功能：

首先依次单击“开始”“运行”选项，在系统运行文本框中输入“regedit”命令，弹出系统注册表编辑窗口，从该窗口左侧列表区域逐一跳转到“HKEY_LOCAL_MACHINE＼System＼CurrentControlSet＼Control＼Terminal Server＼Licensing Core”分支上；

其次在目标分支下面，检查是否存在“EnableConcurrentSessions”双字节值，要是不存在的话，可以右击目标分支选项，依次点选“新建”、“DWORD值”选项，并将新创建的键值取名为“EnableConctancentSessions”，接着用鼠标双击刚刚创建成功的键值，弹出如图2所示的编辑对话框，在其中输入“1”，再按“确定”按钮，这样就能开启多用户登录功能，日后若干用户就能通过远程桌面连按程序同时登录WinXP系统了。

控制网络验证

当WinXP系统尝试与Vista以上版本的主机系统建立远程桌面连接时，无论输入什么账号都无法通过网络验证，这是什么原因呢?原来，WinXP等旧版本系统漏洞比较多，许多病毒、木马很容易通过这些漏洞攻击系统，如果轻易允许这些旧版本系统与重要主机系统建立远程桌面连接的话，那么重要主机系统就也有可能遭遇安全攻击。为此，微软公司在Vista以上版本系统中新推出了网络级身份验证功能，该功能要求客户端系统必须安装安全性能更高的操作系统，才允许与本地系统建立远程桌面连接，否则禁止客户端系统通过远程桌面连接功能登录本地系统。当然，如果希望旧版本系统仍然可以与Vista以上版本系统建立远程桌面连接时，我们可以按照如下设置操作，来临时关闭网络级身份验证功能，确保任何系统都能进行远程登录：

首先右击Vista以上版本主机系统桌面上的“计算机”图标，点选右键菜单中的“属性”命令，弹出系统属性对话框，点选该对话框左侧区域的“远程设置”按钮，切换到远程设置页面，在这里微软公司为用户推荐了三个功能选项，来控制远程桌面连接的安垒性；

在默认状态下，“只允许运行带网络身份验证的远程桌面的计算机连接(更安垒)”选项会处于选中状态(如图3所示)，这表明系统的网络级身份验证功能是开启的，此时只有选中“允许运行任意版本远程桌而的计算机连接(较不安全)”选项，才能保证任何客户端系统都能使用远程桌而连接程序进行远程登录操作。

很多时候，我们还是希望远程桌面连接开启网络级身份验证功能，来保护远程连接的安全性。由于WinXP系统自身不支持该功能，不过在该系统中安装好SP3补丁包后，我们也能让它拥有网络身份验证功能；要做到这一点，只要打开该系统的注册表编辑窗口，依次跳转到该窗口左侧列表中的“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Lsa”分支上，双击该分支下的“Security Packages”键值，在弹出的编辑对话框中添加“tspkg”内容，其他参数保持不变，并按“确定”返回；

接着切换到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼ServiceProvider”分支上，打开“SecurityProviders”键值对话框，输入“，credssp．dll”内容(逗号后有英文空格符号)，再按“确定”按钮，最后重新启动WinXP系统即可。

控制桌面墙纸

如果不恕让其他用户在与本地系统建立远程桌面连接后，随意远程删除本地系统的桌面墙纸时，可以按照下面步骤来设置本地系统，禁止远程用户删除桌而墙纸：

首先在本地系统桌面中依次点选“开始”、“运行”选项，打开系统运行文本框，执行“regedit”命令，弹出系统注册表编辑窗口；在该窗口左删显示区域，依次选择“HKEY_LOCAL_MACHINE＼SOFTWARE＼Policies＼Microsoft＼Windows NT＼Terminal Services”分支选项，在月标分支下而检查有没有fNoRemoteDesktopWallpaperg双字节键值；

要是找不到该键值的话，直接右击目标分支选项，依次点选右键菜单中的“新建”、“DWORD值”命令，将新创建键值取名为“fNoRemoteDesktopWallpaper”再用鼠标双击“fNoRemoteDesktopWallpaper”

键值，弹出如图4所示的编辑数值对话框，输入数字“1”，井按“确定”按钮，最后重启本地系统，这样其他用户就无法通过远程桌而连接方式远程删除桌面墙纸了。

控制连接端口

远程桌而连接程序默认使用3389端口，与远端系统建立控制连接，而黑客自然也熟悉该连接端口，并会利用该端口进行恶意攻击。为了保证远程控制的安全性，我们有必要调整该连接端口号码，以便禁止他人随意与本地系统建立远程桌面连接。例如，璎将Vista系统的远程桌面连接端口号码调整为“1111”时，可以进行如F设置操作：

首先依次点选“开始”“运行”选项，打开系统运行文本框，执行“regedit”命令，弹出注册表编辑窗口；在该窗口左侧列表区域，依次跳转到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Termihal Server＼Wds＼rdpwd＼Tds＼tcp”分支上，如果目标分支不存在可以自行创建；

其次在目标分支下手工创建一个名为“PortNumber”的Dword值，同时用鼠标双击该键值，在其后弹出的编辑对话框中选择“十进制”选项，再输入“1111”，按“确定”按钮返回主编辑窗口；

接着将鼠标定位到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼TerminaI Server＼WinStations＼RDP-Top”分支上，在该分支下面也创建一个“PortNumber”键值，同时将该键值数值也稠整为十进制“1111”，最后重新启动一下Vista系统，这样新的远程桌面连接端口号码就能生效了。

日后，具他用户必须知道新的端口连接号码，才能与本地系统建立远程桌面连接。比方说，本地系统的IP地址为10.168.1.66，那么客户端系统必须在如图5所示的设置对话框中，输入“10.168.1.66；1111”字符串，才能通过远程桌面工具登录进入本地系统，面那些不熟悉新连接端口号码的用户就无法与本地系统建立远程桌面连接了。

控制系统服务

有叫候，我们打开系统“开始”菜单，无法找到远程桌面连接命令，这样我们就不能利用该功能对网络进行远程管理操作了，那么远程桌而命令为什么会找不到呢，如何才能恢复该命令的正常使用状态呢?

其实，远程桌面连接命令丢失，可能是与该命令有关的系统文件损坏或者系统服务停止造成的，此时我们可以先在对应系统中依次单击“开始”、“运行”命令，在弹出的系统运行框中执行“services.msc”命令，展开系统服务列表窗口，双击其中的“Terminal Services”选项，进入目标服务的选项设置对话框；切换到“常规”选项设置页面，在这里我们能看到“TerrainalServices”服务的工作状态是否正常，要是看到该服务工作不正常时，可以尝试单击“启动”授钮，同时将启动类型修改为“自动”，并按“确定”按钮说不定就能解决问题了。

当然，如果“TerminalServices”服务在工作正常的情况下，远程桌面连接命令还不能出现在系统“开始”菜单中时，那很可能是相关系统文件受到了损坏，这时我们不妨打开系统DOS命令行窗口，在其中执行“regsvr32 remotepg．dll”命令(如图6所示)，来将不正常的远程桌面系统文件恢复到正常状态，相信这样我们就能正常使用“开始”菜单中的远程桌面连接命令了。

控制注销操作

如果允许太多的用户通过远程桌面工具与本地系统建立远程控制连接，那么本地系统的宝贵资源可能会被过度消耗，从而影响系统的运行速度。为了节省系统资源，很多人常常会通过关闭远程连接窗口的方式，来切断限制的用户连接；事实上，这种操作方式仍然会消耗本地系统资源，我们只有注销空闲的用户连接，才能保证它们从本地系统彻底退出，下面就是具体的注销方法：

首先在本地系统依次单击“开始”、“运行”命令，打开系统运行文本框，输人“cmd”命令，按回车键后进入DOS命令行窗口；在该窗口命令行提示符下输入“quser”命令，单击回车键后，返回如图7所示的结果信息，我们会在这里看到所有用户的远程连接名称、连接账号、连接标识、会话名信息等；

其次将处于空闲的远程连接对应的用户标识记忆下来，例如，要是test用户发起的远程桌面连接处于空闲状态时，我们可以先找到对应test用户的连接标识内容，倘若该标识内容为6，之后我们打开DOS命令行窗口，在其中执行“logoff 6”命令，本地系统就会强制断开test用户发起的远程桌面连接，这个时候test用户连接占用的系统资源就会被彻底释放出来了。

控制远程启用

正常情况下，我们只有到服务器系统现场才能启用远程桌面连接功能，可是有的时候，需要远程启用这项功能，不知道如何才能做到?其实，我们可以利用注册表来远程启用服务器的远程桌面连接功能，下面就是具体的实现步骤：

首先在本地系统依次点选“开始”“运行”命令，在系统运行文本框中输入“regedit”命令，按回车键弹出注册表控制台窗口，在该窗口中依次点选“文件”“连接网络注册表”选项，展开如图8所示的选项设置窗口，输入服务器主机系统的IP地址或主机名称，按“确定”按钮后进人服务器系统的注册表控制台窗口；

其次依次跳转到该窗口左侧“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server”子键上，用鼠标双击该子键下面的“fDenyTSConnections”键值，在其后弹出的编辑对话框中输人数字“O”，按“确定”按钮返回；

接着在本地系统依次单击“开始”“运行”命令，打开系统运行文本框，输入“cmd”命令，按回车键后进入DOS命令行窗口；在该窗口命令行提示符下输入命令“shutdown-m＼＼server-r”(server为服务器IP地址或主机名称)，来远程重启服务器系统，这样上述设置就能立即生效了，此后服务器系统就能允许他人通过远程桌面功能与之建立控制连接了。

控制用户权限

当开启了远程桌面连接功能后，Windows系统的安全性能就会受到威胁，毕竟黑客可能会使用默认的administrator账号与之建立远程控制连接，从而进行非法破坏活动。为了保护远程连接安全性，我们可以采取如下措施控制用户权限：

首先将administrator账号缺省的远程桌面连接权限取消掉。在进行这项操作是，可以依次单击“开始”“运行”命令，打开系统运行文本框，输入“emd”命令，按回车键后进入DOS命令行窗口；在该窗口命令行提示符下输入“net user administrator／acdve：no”命令，按回车键后，Windows系统的administrator账号就没有这方面的使用权限了。