Windows 2000 的終端服務(wù)由于使用簡(jiǎn)單、方便等特點(diǎn)，備受眾多管理員喜愛(ài)，很多管理員都利用它進(jìn)行遠(yuǎn)程管理服務(wù)器的一個(gè)重要工。然后就是因?yàn)樗暮?jiǎn)單、方便，不與當(dāng)前用戶產(chǎn)生一個(gè)交互式登陸，可以在后臺(tái)登陸操作，它也受到了黑客關(guān)注。現(xiàn)在我們來(lái)通過(guò)認(rèn)真的配置來(lái)加強(qiáng)它的安全性。

1。修改終端服務(wù)的端口

修改注冊(cè)表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

將這兩個(gè)分支下的portnumber鍵值改為你想要的端口。

在客戶端這樣連接就可以了.

2。隱藏登陸的用戶名
隱藏上次登陸的用戶名，這樣可防止惡意攻擊者獲得系統(tǒng)的管理用戶名后進(jìn)行窮舉破解。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改為1就可以了。

3。指定用戶登陸。
為了安全，我們沒(méi)必要讓服務(wù)器上所有用戶都登陸，譬如以下，我們只允許315safe這個(gè)用戶登陸到終端服務(wù)器，按照如下方法做限制：

在“管理工具”---“終端服務(wù)配置”---“連接”，再選擇右邊的“RDP-TCP”的屬性，找到“權(quán)限”選項(xiàng)，刪除administrators組，然后再添加我們?cè)试S的315safe這個(gè)用戶，其他一律不允許登陸。

4、啟動(dòng)審核

“終端服務(wù)”默認(rèn)沒(méi)有日志記錄，需要手動(dòng)開(kāi)啟，在RDP-TCP”的屬性，找到“權(quán)限”選項(xiàng)下“高級(jí)”里有個(gè)“審核”添加everyone，然后選擇需要記錄的的事件。

“事件查看器”里終端服務(wù)日志很不完善。下面我們就來(lái)完善一下終端服務(wù)器日志。

在D盤目錄下，創(chuàng)建2個(gè)文件“ts2000.BAT”（用戶登錄時(shí)運(yùn)行的腳本文件）和“ts2000.LOG”（日志文件）。

編寫“ts2000.BAT”腳本文件：

time /t >>ts2000.log
netstat -n -p tcp | find ″:3389″>>ts2000.log
start Explorer

第一行代碼用于記錄用戶登錄的時(shí)間，“time /t”的意思是返回系統(tǒng)時(shí)間，使用追加符號(hào)“>>”把這個(gè)時(shí)間記入“ts2000.LOG”作為日志的時(shí)間字段；第二行代碼記錄終端用戶的IP地址，“netstat”是用來(lái)顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令，“-n”用于顯示IP和端口，“-p tcp”顯示TCP協(xié)議，管道符號(hào)“|”會(huì)將“netstat”命令的結(jié)果輸出給“find”命令，再?gòu)妮敵鼋Y(jié)果中查找包含“?3389”的行，最后把這個(gè)結(jié)果重定向到日志文件“ts2000.LOG”；最后一行為啟動(dòng)Explorer的命令。

把“ts2000.BAT”設(shè)置成用戶的登錄腳本。在終端服務(wù)器上，進(jìn)入“RDP-Tcp屬性”窗口，并切換到“環(huán)境”框，勾選“替代用戶配置文件和遠(yuǎn)程桌面連接或終端服務(wù)客戶端的設(shè)置”，在“程序路徑和文件名”欄中輸入“D：\ts2000.bat”，在“開(kāi)始位置”欄中輸入“D：\”，點(diǎn)擊“確定”即可完成設(shè)置。此時(shí)，我們就可通過(guò)終端服務(wù)日志了解到每個(gè)用戶的行蹤了。

5。限制、指定連接終端的地址

啟用服務(wù)器自帶的IPSEC來(lái)指定特定的IP地址連接服務(wù)器。
首先禁止所有3389的連接。

1。在“本地安全策略”選擇“IP安全策略，在本地機(jī)器”，在右邊的空白處按右鍵，“創(chuàng)建IP安全策略”，下一步，給策略取名（如3389），不選“激活默認(rèn)響應(yīng)規(guī)則”，完成，這是會(huì)打開(kāi)一個(gè)對(duì)話框，是新建立策略（3389）的屬性。
2。添加新建規(guī)則，出現(xiàn)“IP篩選器列表”，起名叫all_3389，不選“使用添加向?qū)А痹侔础疤砑印?。按“確定”、“關(guān)閉”回到“新規(guī)則”屬性窗口，選中剛設(shè)置的規(guī)則“all_3389”,再按“篩選器操作”選項(xiàng)，“篩選器操作”里沒(méi)有我們的“阻止”我們新建立一項(xiàng)阻止。還是不選“使用添加向?qū)А保础疤砑印?，在彈出的?duì)話框中，在“安全措施”處選“阻止”項(xiàng)。

再按“常規(guī)”，在“名稱”處給他起個(gè)名字，如”阻止3389“，然后確定回到”新規(guī)則“屬性的”篩選器操作”處，選中剛才建立的“阻止3389”，再按“關(guān)閉”，回到開(kāi)始時(shí)的“本地安全設(shè)置”對(duì)話框，選中“3389”后指派。這樣所有的機(jī)器都無(wú)法連接到我們終端服務(wù)器了。

3。同樣服務(wù)器也被欄在外面了，下面我們建立一條規(guī)則，只允許服務(wù)器信任的機(jī)器進(jìn)行連接，譬如219.139.240.90 .我們打開(kāi)“3389”的屬性，不選“使用添加向?qū)А?，按“添加”，打開(kāi)“新規(guī)則”屬性，再按“添加”，出現(xiàn)“IP篩選器列表”，給它起個(gè)名字"OK_3389",不選使用添加向?qū)?，再按”添加“，出現(xiàn)”篩選器“屬性，”尋址“選項(xiàng)設(shè)置成如圖。

協(xié)議處設(shè)置TCP，3389，在”篩選器操作“里選擇”允許“。這樣就OK了，這樣除了我們自己信任的機(jī)器，其他任何機(jī)器都無(wú)法登陸到終端服務(wù)器了。也可以設(shè)置為一個(gè)網(wǎng)關(guān)的信任機(jī)器。這樣終端服務(wù)器就安全多了。