打造更安全遠控服務

引言：使用遠控服務，可以讓網(wǎng)管員靈活的管理遠程主機。提起遠控服務，大家一般都會想到終端服務/遠程桌面，TeamView等工具。其實，同這些遠控工具相比，PcAnyWhere具有功能強大，易于使用等特點，在遠控領域獨樹一幟。PcAnyWhere提供了很多貼心的設計，內置了諸多實用性很強的功能，是很多網(wǎng)管員喜歡的工具。不過，如何提高其安全性，使其更好的為我們服務，是網(wǎng)管員不可回避的問題。

在通常情況 下，PcAny Where的安全性存在一些問題，因為其產生的“*.cif”密碼文件很容易破解。在很多入侵案例中，黑客往往采取利用網(wǎng)站漏洞，上傳WebShell木馬，之后下載PcAnyWhere密碼文件。對其破解后，利用獲取的密碼連接目標主機。黑客甚至在本地上安裝PcAnyWhere，之后創(chuàng)建一個“.cif”密碼文件，之后利用WebShell的文件上傳功能，將密碼文件直接存放到“C:Document and SettingsAllUsersApplication DataSymantecpcAnywhereHosts”文件夾中，之后使用預設密碼連接被控機。因為在默認情況下，對于PcAnyWhere存儲密碼文件的目錄來說，即使是Users組的賬戶也擁有完全控制權限！PcAnyWhere有一個特點，高版本可以兼容低版本，因此，黑客可以很輕松的創(chuàng)建和上傳密碼文件。

為了抗擊黑客對PcAnyWhere的威脅，很多網(wǎng)管員會使用系統(tǒng)自帶的IPSEC安全策略，針對PcAnyWhere使用的端口創(chuàng)建安全規(guī)則，只允許的IP連接被控端主機?；蛘呤褂肞cAnyWhere內置的安全機制，實現(xiàn)對登錄地址的識別，進而阻止黑客獲得連接密碼后發(fā)起的攻擊行為。但是，上述方法也存在一定的問題，一旦網(wǎng)管員更換了IP（例如使用ADSL方式上網(wǎng)或者是動態(tài)IP等），就無法連接PcAnyWhere被控端了。其實，在PcAnyWhere中已經內置了Serial ID安全認證機制，可以完美的解決上述問題。讓黑客即使知道了連接的用戶名和密碼，也無法對PcAnyWhere主機進行非法控制，而網(wǎng)管員則可以在任意主機上連接PcAnyWhere被控端，實現(xiàn)自由的遠控操作。

圖1 創(chuàng)建Serial ID安全文件

PcAnyWhere的Serial ID安全驗證機制的作用就是限定基本的登錄環(huán)境，即使用戶名和密碼被盜，黑客也無法登錄到使用了Serial ID驗證機制的主機上。在被控端按照常規(guī)步驟，安裝好PcAnyWhere，在其主界面左側的“查看”框中點擊“轉到高級視圖”項。切換到高級視圖界面，在左側的“PcAnyWhere 管理器”框中點擊“串口表示集合”項，在右側窗口空白處點擊右鍵，在彈出菜單（如圖1所示）中點擊“新建”→“項目”項，在彈出窗口中的“使用以下串口來限制主機連接”欄中輸入SerialID號，注意其范圍要大于0小于4294967296.如果超出該范圍，PcAnyWhere就彈出序列ID值無效的提示。點擊添加按鈕，將其添加到序號列表中。當然，可以添加多個Serial ID號，這些序號不能相同。點擊確定按鈕，完成Serial ID文件的創(chuàng)建操作。如果采用默認安裝，其存放路徑為“C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereSerial ID Sets”。為了便于使用，最好將其備份起來。

要想發(fā)揮Serial ID認證的功能，需要使用Symantec Package這款工具，來創(chuàng)建特定的PcAnyWhere安裝包。使用Symantec Package這款工具，可以創(chuàng)建，修改自定義安裝包，之后將其發(fā)布給所需用戶即可。此外，使用該工具還可以創(chuàng)建只包含用戶所需功能的設置項目的安裝包，這樣利用定制適合企業(yè)環(huán)境的軟件環(huán)境。當然，也可以使用Serial ID驗證方式，來限制登錄用戶的身份。使用WinMount等工具打開PcAnyWhere安裝光盤文件，在其中運行“setup.exe”程序，在安裝界面中點擊“View Other Installation Options” 鏈接，在彈出窗口中點擊“Download System Package”鏈 接，下 載Symantec Package安裝包。也可以打開網(wǎng)址“http://www.solutionsam.com/solutions/public/pcAnywhere/v12_5/Packager/Packager_ENG.exe”，來下載該工具。

在Symantec Package主界面中的“Import Products”面板中顯示導入的產品信息，可以看到，PcAnyWhere已經自動添加進來了。在“Configure Products”面板 中 雙 擊“Symantec pcAnywhere”項，在彈出窗口中的“Feathers”面板中提供了基本的安裝元素，包含了PcAnyWhere的各個功能選項，允許您對其各項功能進行取舍。一般來說，采用默認設置即可。在“Configuration Files”面板中配置所需文件，在“Install Options”面板中設置安裝選項。如果您對PcAnyWhere非常熟悉，可以根據(jù)自己的需要定制以上各個選型。

圖2 創(chuàng)建自定義安裝包

例如選擇“Remote Files（*.CHF）”項，可以添加后綴為“.chf”的文件，該文件是主控端連接被控端的配置文件。選 擇“Host Files（*.BHF）”項，可以添加被控端主機配置文件等。對于一般用戶來說，不要隨意對其進行更改。在“Configuration Files”面 板（如圖2所示）中選擇“Host Security IDs Files（*.SID）”項，點擊“Add”按鈕，在上述路徑中選擇創(chuàng)建好的后綴為“.sid”文件的Serial ID文件，將其添加到本安裝包中。之后點擊“Build”按鈕，執(zhí)行定制版安裝PcAnyWhere的安裝包創(chuàng)建動作，之后 得 到 名 為“Symantec pcAnywhere.msi”的安裝文件。之后在主機上卸載現(xiàn)有的 PcAnyWhere，并 安 裝 該定制版PcAnyWhere安裝包。并在所要操作的客戶端上安裝該定制安裝包，就可以利用Serial ID驗證機制，安全連接PcAnyWhere被控端了。黑客即使破譯了連接密碼，因為沒有該定制版PcAnyWhere安裝包，是無法連接PcAnyWhere主機的。

另外，對于使用終端服務的用戶來說，為了提高安全性，可以采取相應的安全措施。例如，修改終端服務使用的端口，將其有3389修改為別的不常用的端口。這樣，當黑客使用SuperScan等掃描器掃描3389端口時，就可以避免輕易被其發(fā)現(xiàn)。為了避免別人隨意連接終端服務，最好使用“net user”命令，創(chuàng)建專用的賬戶，并將其提升到管理員組中。之后在終端服務管理窗口中選擇RDP-Tcp連接項，在其屬性窗口對權限進行調整，刪除別的賬戶，只允許該賬戶連接終端服務。利用組策略，取消上次遠程登錄時的賬戶名稱記錄信息，禁止顯示上次遠程登錄的賬戶名等。最關鍵的是，連接密碼必須足夠強壯才行。例如，密碼長度要達到12位以上，內容包括大小寫的字母，數(shù)字，特殊字符等。而且定期要更換密碼，加大黑客破解的難度。這樣，當黑客使用Tscrack的工具暴力破解密碼時，就無法輕易得逞。此外，利用IPSEC安全策略和防火墻，可以屏蔽非法IP，禁止其連接終端服務。這樣，即使黑客利用嗅探工具捕獲了密碼，也無法實施入侵。