加强终端服务的安全性.docVIP

加强终端服务的安全性 ??? Windows 2000 的终端服务由于使用简单、方便等特点，备受众多管理员喜爱，很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便，不与当前用户产生一个交互式登陆，可以在后台登陆操作，它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。 1。修改终端服务的端口 修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp ? ?和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp 将这两个分支下的portnumber键值改为你想要的端口。 ? 在客户端这样连接就可以了. 2。隐藏登陆的用户名?? 隐藏上次登陆的用户名，这样可防止恶意攻击者获得系统的管理用户名后进行穷举破解。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDontDisplayLastUserName 的值改为1就可以了。 3。指定用户登陆。为了安全，我们没必要让服务器上所有用户都登陆，譬如以下，我们只允许315safe这个用户登陆到终端服务器，按照如下方法做限制： ? 在“管理工具”---“终端服务配置”---“连接”，再选择右边的“RDP-TCP”的属性，找到“权限”选项，删除administrators组，然后再添加我们允许的315safe这个用户，其他一律不允许登陆。 4、启动审核 ???? “终端服务”默认没有日志记录，需要手动开启，在RDP-TCP”的属性，找到“权限”选项下“高级”里有个“审核”添加everyone，然后选择需要记录的的事件。 　　“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。 　　在D盘目录下，创建2个文件“ts2000.BAT”（用户登录时运行的脚本文件）和“ts2000.LOG”（日志文件）。 　　编写“ts2000.BAT”脚本文件： 　　time /t ts2000.log　　netstat -n -p tcp | find ″:3389″ts2000.log　　start Explorer 　　第一行代码用于记录用户登录的时间，“time /t”的意思是返回系统时间，使用追加符号“”把这个时间记入“ts2000.LOG”作为日志的时间字段；第二行代码记录终端用户的IP地址，“netstat”是用来显示当前网络连接状况的命令，“-n”用于显示IP和端口，“-p tcp”显示TCP协议，管道符号“|”会将“netstat”命令的结果输出给“find”命令，再从输出结果中查找包含“3389”的行，最后把这个结果重定向到日志文件“ts2000.LOG”；最后一行为启动Explorer的命令。 　　把“ts2000.BAT”设置成用户的登录脚本。在终端服务器上，进入“RDP-Tcp属性”窗口，并切换到“环境”框，勾选“替代用户配置文件和远程桌面连接或终端服务客户端的设置”，在“程序路径和文件名”栏中输入“D：\ts2000.bat”，在“开始位置”栏中输入“D：\”，点击“确定”即可完成设置。此时，我们就可通过终端服务日志了解到每个用户的行踪了。 5。限制、指定连接终端的地址 ? 启用服务器自带的IPSEC来指定特定的IP地址连接服务器。首先禁止所有3389的连接。 ?1。在“本地安全策略”选择“IP安全策略，在本地机器”，在右边的空白处按右键，“创建IP安全策略”，下一步，给策略取名（如3389），不选“激活默认响应规则”，完成，这是会打开一个对话框，是新建立策略（3389）的属性。2。添加新建规则，出现“IP筛选器列表”，起名叫all_3389，不选“使用添加向导”再按“添加”。按“确定”、“关闭”回到“新规则”属性窗口，选中刚设置的规则“all_3389”,再按“筛选器操作”选项，“筛选器操作”里没有我们的“阻止”我们新建立一项阻止。还是不选“使用添加向导”，按“添加”，在弹出的对话框中，在“安全措施”处选“阻止”项。 再按“常规”，在“名称”处给他起个名字，如”阻止3389“，然后确定回到”新规则“属性的”筛选器操作”处，选中刚才建立的“阻止3389”，再按“关闭”，回到开始时的“本地安全设置”对话框，选中“3389”后指派。这样所有的机器都无法连接到我们终端服务器了。 ? 3。同样服务器