Windows 2000 的終端服務(wù)由于使用簡單、方便等特點,備受眾多管理員喜愛,很多管理員都利用它進行遠程管理服務(wù)器的一個重要工。然后就是因為它的簡單、方便,不與當(dāng)前用戶產(chǎn)生一個交互式登陸,可以在后臺登陸操作,它也受到了黑客關(guān)注。現(xiàn)在我們來通過認(rèn)真的配置來加強它的安全性。
1。修改終端服務(wù)的端口
修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
將這兩個分支下的portnumber鍵值改為你想要的端口。
在客戶端這樣連接就可以了.
2。隱藏登陸的用戶名
隱藏上次登陸的用戶名,這樣可防止惡意攻擊者獲得系統(tǒng)的管理用戶名后進行窮舉破解。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改為1就可以了。
3。指定用戶登陸。
為了安全,我們沒必要讓服務(wù)器上所有用戶都登陸,譬如以下,我們只允許315safe這個用戶登陸到終端服務(wù)器,按照如下方法做限制:
在“管理工具”---“終端服務(wù)配置”---“連接”,再選擇右邊的“RDP-TCP”的屬性,找到“權(quán)限”選項,刪除administrators組,然后再添加我們允許的315safe這個用戶,其他一律不允許登陸。
4、啟動審核
“終端服務(wù)”默認(rèn)沒有日志記錄,需要手動開啟,在RDP-TCP”的屬性,找到“權(quán)限”選項下“高級”里有個“審核”添加everyone,然后選擇需要記錄的的事件。
“事件查看器”里終端服務(wù)日志很不完善。下面我們就來完善一下終端服務(wù)器日志。
在D盤目錄下,創(chuàng)建2個文件“ts2000.BAT”(用戶登錄時運行的腳本文件)和“ts2000.LOG”(日志文件)。
編寫“ts2000.BAT”腳本文件:
time /t >>ts2000.log
netstat -n -p tcp | find ″:3389″>>ts2000.log
start Explorer
第一行代碼用于記錄用戶登錄的時間,“time /t”的意思是返回系統(tǒng)時間,使用追加符號“>>”把這個時間記入“ts2000.LOG”作為日志的時間字段;第二行代碼記錄終端用戶的IP地址,“netstat”是用來顯示當(dāng)前網(wǎng)絡(luò)連接狀況的命令,“-n”用于顯示IP和端口,“-p tcp”顯示TCP協(xié)議,管道符號“|”會將“netstat”命令的結(jié)果輸出給“find”命令,再從輸出結(jié)果中查找包含“?3389”的行,最后把這個結(jié)果重定向到日志文件“ts2000.LOG”;最后一行為啟動Explorer的命令。
把“ts2000.BAT”設(shè)置成用戶的登錄腳本。在終端服務(wù)器上,進入“RDP-Tcp屬性”窗口,并切換到“環(huán)境”框,勾選“替代用戶配置文件和遠程桌面連接或終端服務(wù)客戶端的設(shè)置”,在“程序路徑和文件名”欄中輸入“D:\ts2000.bat”,在“開始位置”欄中輸入“D:\”,點擊“確定”即可完成設(shè)置。此時,我們就可通過終端服務(wù)日志了解到每個用戶的行蹤了。
5。限制、指定連接終端的地址
啟用服務(wù)器自帶的IPSEC來指定特定的IP地址連接服務(wù)器。
首先禁止所有3389的連接。
1。在“本地安全策略”選擇“IP安全策略,在本地機器”,在右邊的空白處按右鍵,“創(chuàng)建IP安全策略”,下一步,給策略取名(如3389),不選“激活默認(rèn)響應(yīng)規(guī)則”,完成,這是會打開一個對話框,是新建立策略(3389)的屬性。
2。添加新建規(guī)則,出現(xiàn)“IP篩選器列表”,起名叫all_3389,不選“使用添加向?qū)А痹侔础疤砑印薄0础按_定”、“關(guān)閉”回到“新規(guī)則”屬性窗口,選中剛設(shè)置的規(guī)則“all_3389”,再按“篩選器操作”選項,“篩選器操作”里沒有我們的“阻止”我們新建立一項阻止。還是不選“使用添加向?qū)А保础疤砑印保趶棾龅膶υ捒蛑校凇鞍踩胧碧庍x“阻止”項。
再按“常規(guī)”,在“名稱”處給他起個名字,如”阻止3389“,然后確定回到”新規(guī)則“屬性的”篩選器操作”處,選中剛才建立的“阻止3389”,再按“關(guān)閉”,回到開始時的“本地安全設(shè)置”對話框,選中“3389”后指派。這樣所有的機器都無法連接到我們終端服務(wù)器了。
3。同樣服務(wù)器也被欄在外面了,下面我們建立一條規(guī)則,只允許服務(wù)器信任的機器進行連接,譬如219.139.240.90 .我們打開“3389”的屬性,不選“使用添加向?qū)А保础疤砑印保蜷_“新規(guī)則”屬性,再按“添加”,出現(xiàn)“IP篩選器列表”,給它起個名字"OK_3389",不選使用添加向?qū)В侔础碧砑印埃霈F(xiàn)”篩選器“屬性,”尋址“選項設(shè)置成如圖。
協(xié)議處設(shè)置TCP,3389,在”篩選器操作“里選擇”允許“。這樣就OK了,這樣除了我們自己信任的機器,其他任何機器都無法登陸到終端服務(wù)器了。也可以設(shè)置為一個網(wǎng)關(guān)的信任機器。這樣終端服務(wù)器就安全多了。
