讓終端服務(wù)變得更加安全

使用終端服務(wù)，可以方便快捷地遠(yuǎn)程管理服務(wù)器。但是，如果終端服務(wù)配置不當(dāng)?shù)脑?，很容易遭到黑客的攻擊。因為終端服務(wù)默認(rèn)使用3389端口，黑客使用掃描器可以很容易發(fā)現(xiàn)攻擊目標(biāo)。因此，將終端服務(wù)端口進(jìn)行更改，可以有效避開黑客的騷擾。使用3389端口修改器這款小軟件，可以毫不費力地完成以上操作。在其主界面中的“端口號”欄輸入新的端口號，點擊“修改”按鈕即可。

圖9 開啟終端服務(wù)審核項目

當(dāng)黑客探測到開啟終端服務(wù)的主機后，在登錄界面中會發(fā)現(xiàn)上次登錄的賬戶名，這對服務(wù)器安全很不利，黑客可以據(jù)此來破解密碼。運行注冊表編輯器，打 開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支。在右側(cè)窗口中將“DontDisplayLastUserName”項的指修改為1，就可以禁止讓系統(tǒng)記錄上次登錄的賬戶名。為了安全的需要，沒有必要讓服務(wù)器上的所有賬戶都擁有登錄終端服務(wù)的能力，我們可以讓一個指定的賬戶（例如“rdpuser”）自由登錄終端服務(wù)，其余的賬戶禁止登錄，當(dāng)然該賬戶只能屬于Administrators組。點擊“開始”→“管理工具”→“終端服務(wù)”→“終端服務(wù)配置”項，在彈出窗口中的“連接”欄中的“RDP-Tcp”項的右鍵菜單中點擊“屬性”項，在屬性窗口中的“安全”面板中刪除“Administrators”組，點擊“添加”按鈕，將指定的賬戶添加進(jìn)來，選中該賬戶，為其開啟完全控制，用戶訪問，來賓訪問等權(quán)限。除了SYSTEM賬戶外，分別選擇其它的組，在“拒絕”列中選擇所有的項目，拒絕其訪問終端服務(wù)。

在默認(rèn)情況下，系統(tǒng)沒有對終端服務(wù)開啟日志記錄功能。為了安全起見，及時追蹤黑客的活動蹤跡，需要手工開啟針對終端服務(wù)的記錄功能。在RDP-TCP屬性窗口中的“權(quán)限”面板中點擊“高級”按鈕，在彈出窗口中的“審核”面板（如圖9所示）中點擊“添加”按鈕，之后在審核項目窗口中的“登錄”欄中勾選“成功”和“失敗”項，在“注銷”欄中勾選“成功”項，在“斷開”欄中勾選“成功”項。點擊確定按鈕，保存審核設(shè)置信息。

使用記事本編輯一個批處理文件，其內(nèi)容為：

之后將其保存為“zdfw.bat”文件，該程序可以在使用者登錄終端服務(wù)器時，記錄當(dāng)時的日期時間信息，還可以將來訪者的IP地址記錄下來，并將其保存在“3389log.txt”文件中，注意，如果您修改了終端服務(wù)端口的話，需要在其中替換默認(rèn)的3389端口號。在RDP-TCP屬性窗口中的“環(huán)境”面板中選擇“用戶登錄是啟用下列程序”項，在“程序路徑和文件名”欄中輸 入“C:Windowszdfw.bat”，在“起始于”欄中輸入“C:Windows”，假設(shè)該文件保存在“C:Windows”目錄中。為了安全起見，最好將該文件設(shè)置為隱藏狀態(tài)。

即使更改了終端服務(wù)端口，也不能完全排除黑客侵襲的可能。最好的辦法是利用系統(tǒng)自帶安全策略，只允許指定的IP才可以訪問終端服務(wù)，而將其余的IP拒之門外。運行“secpol.msc”命令，在本地安全設(shè)置窗口左側(cè)的“IP安全策略，在本地計算機”項的右鍵菜單上點擊“創(chuàng)建IP安全策略”項，在向?qū)Т翱谥悬c擊下一步按鈕，設(shè)置策略名稱（例如“允許特定IP訪問終端服務(wù)”）和描述信息，在下一步窗口中取消“激活默認(rèn)響應(yīng)規(guī)則”項的選擇狀態(tài)。

圖10 配置協(xié)議信息

圖11 設(shè)置尋址信息

雙擊剛才創(chuàng)建的IP策略，在彈出窗口中取消“使用添加向?qū)А表椀倪x擇狀態(tài)。點擊添加按鈕，在彈出窗口中的“IP篩選器列表”面板中點擊“添加”按鈕，輸入本篩選器名稱（例如“拒絕任何IP訪問終端服務(wù)”）和描述信息。點擊添加按鈕，同樣不選擇“使用添加向?qū)А表棥＠^續(xù)點擊添加按鈕，在“尋址”面板中的“源地址”列表中選擇“任何IP地址”，在“目標(biāo)地址”列表中選擇“我的IP地址”項。在“協(xié)議”面板（如圖10所示）中的“選擇協(xié)議類型”列表中選擇“TCP”，先選擇“從任意端口”項，再選擇“到此端口”項，將端口設(shè)定為3389（或者修改后的終端服務(wù)端口）。之后完成本篩選器創(chuàng)建操作。在“IP篩選器列表”面板選擇“拒絕任何IP訪問終端服務(wù)”篩選器項，在“篩選器操作”面板中點擊添加按鈕，選擇“阻止”項，在“常規(guī)”面板中輸入其名稱，例如“阻止網(wǎng)絡(luò)訪問終端服務(wù)”。完成本IP安全策略的創(chuàng)建操作。

之后在“篩選器操作”面板中選擇“阻止網(wǎng)絡(luò)訪問終端服務(wù)”項，點擊確定按鈕，返回上述安全策略屬性窗口，選擇上述“允許特定IP訪問終端服務(wù)”策略，點擊“添加”按鈕，按照上述方法創(chuàng)建名為“允許指定IP訪問本機終端服務(wù)”的篩選器，在其屬性窗口中“尋址”面板（如圖11所示）中的“源地址”列表中選擇“一個特定的IP地址”或者“一個特定的子網(wǎng)”，在“目標(biāo)地址”列表中選擇“我的IP地址”項。并在“篩選器操作”面板中創(chuàng)建新的操作規(guī)則，在“安全措施”面板中選擇“許可”項，來創(chuàng)建新的篩選器，具體的步驟和上述幾乎完全相同，這里不再詳述。這樣，在“允許特定IP訪問終端服務(wù)”策略中就包含了兩個篩選器，實現(xiàn)了只允許特定IP訪問本機終端服務(wù)的目的。在該IP策略項的右鍵菜單上點擊“指派”項，就可以激活保護(hù)動作，阻止非法用戶訪問終端服務(wù)了。