频道栏目
首页 > 安全 > 系统安全 > 正文

加强终端服务的安全性

2005-04-29 13:03:43           
收藏   我要投稿
来源:315safe

Windows 2000 的终端服务由于使用简单、方便等特点,备受众多管理员喜爱,是很多管理员都利用它进行远程管理服务器的一个重要工具。然后就是因为它的简单、方便,不与当前用户产生一个交互式登陆,可以在后台登陆操作,它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。
1。修改终端服务的端口
修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
 和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWds dpwdTds cp

将这两个分支下的portnumber键值改为你想要的端口。

  在客户端这样连接就可以了.

seover="this.style.cursor=hand;" style="CURSOR: hand" onclick=window.open(this.src); height=177 alt="\" src="http://up.2cto.com/Article/200504/20050429124950181.jpg" width=411 onload=javascript:DrawImage(this); border=0 pop="按此在新窗口打开图片">
2。隐藏登陆的用户名
   隐藏上次登陆的用户名,这样可防止恶意攻击者获得系统的管理用户名后进行穷举破解
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
DontDisplayLastUserName 的值改为1就可以了。

3。指定用户登陆。
为了安全,我们没必要让服务器上所有用户都登陆,譬如以下,我们只允许315safe这个用户登陆到终端服务器,按照如下方法做限制:


按此在新窗口打开图片
在“管理工具”---“终端服务配置”---“连接”,再选择右边的“RDP-TCP”的属性,找到“权限”选项,删除administrators组,然后再添加我们允许的315safe这个用户,其他一律不允许登陆。

4、启动审核

     “终端服务”默认没有日志记录,需要手动开启,在RDP-TCP”的属性,找到“权限”选项下“高级”里有个“审核”添加everyone,然后选择需要记录的的事件。


按此在新窗口打开图片
“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。

按此在新窗口打开图片
在D盘目录下,创建2个文件“ts2000.BAT”(用户登录时运行的脚本文件)和“ts2000.LOG”(日志文件)。

  编写“ts2000.BAT”脚本文件:

  time /t >>ts2000.log
  netstat -n -p tcp | find ″:3389″>>ts2000.log
  start Explorer

  第一行代码用于记录用户登录的时间,“time /t”的意思是返回系统时间,使用追加符号“>>”把这个时间记入“ts2000.LOG”作为日志的时间字段;第二行代码记录终端用户的IP地址,“netstat”是用来显示当前网络连接状况的命令,“-n”用于显示IP和端口,“-p tcp”显示TCP协议,管道符号“|”会将“netstat”命令的结果输出给“find”命令,再从输出结果中查找包含“?3389”的行,最后把这个结果重定向到日志文件“ts2000.LOG”;最后一行为启动Explorer的命令。

  把“ts2000.BAT”设置成用户的登录脚本。在终端服务器上,进入“RDP-Tcp属性”窗口,并切换到“环境”框,勾选“替代用户配置文件和远程桌面连接或终端服务客户端的设置”,在“程序路径和文件名”栏中输入“D: s2000.bat”,在“开始位置”栏中输入“D:”,点击“确定”即可完成设置。此时,我们就可通过终端服务日志了解到每个用户的行踪了。


5。限制、指定连接终端的地址

  启用服务器自带的IPSEC来指定特定的IP地址连接服务器。
首先禁止所有3389的连接。


按此在新窗口打开图片
 1。在“本地安全策略”选择“IP安全策略,在本地机器”,在右边的空白处按右键,“创建IP安全策略”,下一步,给策略取名(如3389),不选“激活默认响应规则”,完成,这是会打开一个对话框,是新建立策略(3389)的属性。
2。添加新建规则,出现“IP筛选器列表”,起名叫all_3389,不选“使用添加向导”再按“添加”。按“确定”、“关闭”回到“新规则”属性窗口,选中刚设置的规则“all_3389”,再按“筛选器操作”选项,“筛选器操作”里没有我们的“阻止”我们新建立一项阻止。还是不选“使用添加向导”,按“添加”,在弹出的对话框中,在“安全措施”处选“阻止”项。

按此在新窗口打开图片

按此在新窗口打开图片

按此在新窗口打开图片
再按“常规”,在“名称”处给他起个名字,如”阻止3389“,然后确定回到”新规则“属性的”筛选器操作”处,选中刚才建立的“阻止3389”,再按“关闭”,回到开始时的“本地安全设置”对话框,选中“3389”后指派。这样所有的机器都无法连接到我们终端服务器了。

按此在新窗口打开图片

按此在新窗口打开图片

按此在新窗口打开图片

按此在新窗口打开图片
3。同样服务器也被栏在外面了,下面我们建立一条规则,只允许服务器信任的机器进行连接,譬如219.139.240.90 .我们打开“3389”的属性,不选“使用添加向导”,按“添加”,打开“新规则”属性,再按“添加”,出现“IP筛选器列表”,给它起个名字"OK_3389",不选使用添加向导,再按”添加“,出现”筛选器“属性,”寻址“选项设置成如图。


按此在新窗口打开图片

按此在新窗口打开图片

协议处设置TCP,3389,在”筛选器操作“里选择”允许“。这样就OK了,这样除了我们自己信任的机器,其他任何机器都无法登陆到终端服务器了。也可以设置为一个网关的信任机器。这样终端服务器就安全多了。

相关TAG标签 安全性 终端
上一篇:网络钓鱼是什么意思
下一篇:管理员组获取系统权限的完美解决方案
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站