Windows 2000 的終端服務(wù)由于使用簡(jiǎn)單、方便等特點(diǎn),備受眾多管理員喜愛,很多管理員都利用它進(jìn)行遠(yuǎn)程管理服務(wù)器的一個(gè)重要工。然后就是因?yàn)樗暮?jiǎn)單、方便,不與當(dāng)前用戶產(chǎn)生一個(gè)交互式登陸,可以在后臺(tái)登陸操作,它也受到了黑客關(guān)注。現(xiàn)在我們來通過認(rèn)真的配置來加強(qiáng)它的安全性。
1。修改終端服務(wù)的端口
修改注冊(cè)表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
將這兩個(gè)分支下的portnumber鍵值改為你想要的端口。
在客戶端這樣連接就可以了.
2。隱藏登陸的用戶名
隱藏上次登陸的用戶名,這樣可防止惡意攻擊者獲得系統(tǒng)的管理用戶名后進(jìn)行窮舉破解。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改為1就可以了。
3。指定用戶登陸。
為了安全,我們沒必要讓服務(wù)器上所有用戶都登陸,譬如以下,我們只允許315safe這個(gè)用戶登陸到終端服務(wù)器,按照如下方法做限制:
在“管理工具”---“終端服務(wù)配置”---“連接”,再選擇右邊的“RDP-TCP”的屬性,找到“權(quán)限”選項(xiàng),刪除administrators組,然后再添加我們?cè)试S的315safe這個(gè)用戶,其他一律不允許登陸。
4、啟動(dòng)審核
“終端服務(wù)”默認(rèn)沒有日志記錄,需要手動(dòng)開啟,在RDP-TCP”的屬性,找到“權(quán)限”選項(xiàng)下“高級(jí)”里有個(gè)“審核”添加everyone,然后選擇需要記錄的的事件。
“事件查看器”里終端服務(wù)日志很不完善。下面我們就來完善一下終端服務(wù)器日志。
在D盤目錄下,創(chuàng)建2個(gè)文件“ts2000.BAT”(用戶登錄時(shí)運(yùn)行的腳本文件)和“ts2000.LOG”(日志文件)。
編寫“ts2000.BAT”腳本文件:
time /t >>ts2000.log
netstat -n -p tcp | find ″:3389″>>ts2000.log
start Explorer
第一行代碼用于記錄用戶登錄的時(shí)間,“time /t”的意思是返回系統(tǒng)時(shí)間,使用追加符號(hào)“>>”把這個(gè)時(shí)間記入“ts2000.LOG”作為日志的時(shí)間字段;第二行代碼記錄終端用戶的IP地址,“netstat”是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令,“-n”用于顯示IP和端口,“-p tcp”顯示TCP協(xié)議,管道符號(hào)“|”會(huì)將“netstat”命令的結(jié)果輸出給“find”命令,再?gòu)妮敵鼋Y(jié)果中查找包含“?3389”的行,最后把這個(gè)結(jié)果重定向到日志文件“ts2000.LOG”;最后一行為啟動(dòng)Explorer的命令。
把“ts2000.BAT”設(shè)置成用戶的登錄腳本。在終端服務(wù)器上,進(jìn)入“RDP-Tcp屬性”窗口,并切換到“環(huán)境”框,勾選“替代用戶配置文件和遠(yuǎn)程桌面連接或終端服務(wù)客戶端的設(shè)置”,在“程序路徑和文件名”欄中輸入“D:\ts2000.bat”,在“開始位置”欄中輸入“D:\”,點(diǎn)擊“確定”即可完成設(shè)置。此時(shí),我們就可通過終端服務(wù)日志了解到每個(gè)用戶的行蹤了。
5。限制、指定連接終端的地址
啟用服務(wù)器自帶的IPSEC來指定特定的IP地址連接服務(wù)器。
首先禁止所有3389的連接。
1。在“本地安全策略”選擇“IP安全策略,在本地機(jī)器”,在右邊的空白處按右鍵,“創(chuàng)建IP安全策略”,下一步,給策略取名(如3389),不選“激活默認(rèn)響應(yīng)規(guī)則”,完成,這是會(huì)打開一個(gè)對(duì)話框,是新建立策略(3389)的屬性。
2。添加新建規(guī)則,出現(xiàn)“IP篩選器列表”,起名叫all_3389,不選“使用添加向?qū)А痹侔础疤砑印薄0础按_定”、“關(guān)閉”回到“新規(guī)則”屬性窗口,選中剛設(shè)置的規(guī)則“all_3389”,再按“篩選器操作”選項(xiàng),“篩選器操作”里沒有我們的“阻止”我們新建立一項(xiàng)阻止。還是不選“使用添加向?qū)А保础疤砑印保趶棾龅膶?duì)話框中,在“安全措施”處選“阻止”項(xiàng)。
再按“常規(guī)”,在“名稱”處給他起個(gè)名字,如”阻止3389“,然后確定回到”新規(guī)則“屬性的”篩選器操作”處,選中剛才建立的“阻止3389”,再按“關(guān)閉”,回到開始時(shí)的“本地安全設(shè)置”對(duì)話框,選中“3389”后指派。這樣所有的機(jī)器都無法連接到我們終端服務(wù)器了。
3。同樣服務(wù)器也被欄在外面了,下面我們建立一條規(guī)則,只允許服務(wù)器信任的機(jī)器進(jìn)行連接,譬如219.139.240.90 .我們打開“3389”的屬性,不選“使用添加向?qū)А保础疤砑印保蜷_“新規(guī)則”屬性,再按“添加”,出現(xiàn)“IP篩選器列表”,給它起個(gè)名字"OK_3389",不選使用添加向?qū)В侔础碧砑印埃霈F(xiàn)”篩選器“屬性,”尋址“選項(xiàng)設(shè)置成如圖。
協(xié)議處設(shè)置TCP,3389,在”篩選器操作“里選擇”允許“。這樣就OK了,這樣除了我們自己信任的機(jī)器,其他任何機(jī)器都無法登陸到終端服務(wù)器了。也可以設(shè)置為一個(gè)網(wǎng)關(guān)的信任機(jī)器。這樣終端服務(wù)器就安全多了。
