windows的远程桌面虽然用起来比较方便，但其安全性和资源占用比起SSH还是有不少的差距。

想到的安全策略有一下几个：

1、更改默认端口号

终端服务默认使用知名端口号3389，很显然大家都知道这个端口是做什么的，所以改端口号可以躲过很多的机器扫描。可以从终端服务本机上修改默认端口号，如果有防火墙做NAT，那更简单了，NAT后的端口号别用3389就是了。

2、设置复杂密码

现在的GPU处理能力十分恐怖，所以密码位数少了就不安全了，大小写字母和数字组合的12位密码目前还基本够用。远程桌面竟然不支持CA证书验证登录，这点不如SSH了。SSH设置成2048位RSA证书登录，禁止口令登录，禁止root登录，就相当的安全了。

3、限制登录尝试次数

修改组策略，计算机配置->windows设置->安全设置->账户策略->账户锁定策略，账户锁定阈值设置为10，也就是10次无效登录后就封锁对方IP，禁止其在一段时间内继续尝试登录。账户锁定时间就是无效登录后多久才可以继续尝试登录。复位账户锁定计数器设置多长时间后复位账户锁定阈值，必须小于等于账户锁定时间。

4、禁止administrator用户远程桌面登录

administrator实在是太扎眼了，可以禁止其远程桌面登录，另设立一个管理员账户来执行远程登录任务，这样用户名和密码的组合就更复杂了，爆破的难度大大加大。

双击计算机配置->Windows设置->安全设置->本地策略->用户权限分配->通过终端服务允许登录，将Administrators账号删除掉，加入另设立的管理员账户即可。

5、加密远程桌面连接

默认情形下，远程桌面的数据链接是不加密的，十分危险有木有，容易被监听有木有。2003以后的windows版本可以使用SSL来加密远程桌面连接。

(责任编辑：管理员)