- 1、本文档共12页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
加强终端服务的安全性
加强终端服务的安全性
??? Windows 2000 的终端服务由于使用简单、方便等特点,备受众多管理员喜爱,很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便,不与当前用户产生一个交互式登陆,可以在后台登陆操作,它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。
1。修改终端服务的端口
修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
?
?和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
将这两个分支下的portnumber键值改为你想要的端口。
? 在客户端这样连接就可以了.
2。隐藏登陆的用户名?? 隐藏上次登陆的用户名,这样可防止恶意攻击者获得系统的管理用户名后进行穷举破解。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDontDisplayLastUserName 的值改为1就可以了。
3。指定用户登陆。为了安全,我们没必要让服务器上所有用户都登陆,譬如以下,我们只允许315safe这个用户登陆到终端服务器,按照如下方法做限制:
?
在“管理工具”---“终端服务配置”---“连接”,再选择右边的“RDP-TCP”的属性,找到“权限”选项,删除administrators组,然后再添加我们允许的315safe这个用户,其他一律不允许登陆。
4、启动审核
???? “终端服务”默认没有日志记录,需要手动开启,在RDP-TCP”的属性,找到“权限”选项下“高级”里有个“审核”添加everyone,然后选择需要记录的的事件。
“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。
在D盘目录下,创建2个文件“ts2000.BAT”(用户登录时运行的脚本文件)和“ts2000.LOG”(日志文件)。
编写“ts2000.BAT”脚本文件:
time /t ts2000.log netstat -n -p tcp | find ″:3389″ts2000.log start Explorer
第一行代码用于记录用户登录的时间,“time /t”的意思是返回系统时间,使用追加符号“”把这个时间记入“ts2000.LOG”作为日志的时间字段;第二行代码记录终端用户的IP地址,“netstat”是用来显示当前网络连接状况的命令,“-n”用于显示IP和端口,“-p tcp”显示TCP协议,管道符号“|”会将“netstat”命令的结果输出给“find”命令,再从输出结果中查找包含“3389”的行,最后把这个结果重定向到日志文件“ts2000.LOG”;最后一行为启动Explorer的命令。
把“ts2000.BAT”设置成用户的登录脚本。在终端服务器上,进入“RDP-Tcp属性”窗口,并切换到“环境”框,勾选“替代用户配置文件和远程桌面连接或终端服务客户端的设置”,在“程序路径和文件名”栏中输入“D:\ts2000.bat”,在“开始位置”栏中输入“D:\”,点击“确定”即可完成设置。此时,我们就可通过终端服务日志了解到每个用户的行踪了。
5。限制、指定连接终端的地址
? 启用服务器自带的IPSEC来指定特定的IP地址连接服务器。首先禁止所有3389的连接。
?1。在“本地安全策略”选择“IP安全策略,在本地机器”,在右边的空白处按右键,“创建IP安全策略”,下一步,给策略取名(如3389),不选“激活默认响应规则”,完成,这是会打开一个对话框,是新建立策略(3389)的属性。2。添加新建规则,出现“IP筛选器列表”,起名叫all_3389,不选“使用添加向导”再按“添加”。按“确定”、“关闭”回到“新规则”属性窗口,选中刚设置的规则“all_3389”,再按“筛选器操作”选项,“筛选器操作”里没有我们的“阻止”我们新建立一项阻止。还是不选“使用添加向导”,按“添加”,在弹出的对话框中,在“安全措施”处选“阻止”项。
再按“常规”,在“名称”处给他起个名字,如”阻止3389“,然后确定回到”新规则“属性的”筛选器操作”处,选中刚才建立的“阻止3389”,再按“关闭”,回到开始时的“本地安全设置”对话框,选中“3389”后指派。这样所有的机器都无法连接到我们终端服务器了。
?
3。同样服务器
您可能关注的文档
- 利用语文综合性活动培育学生的爱心.doc
- 利用课文教材培养学生的阅读技能.doc
- 利用远程教育减轻学生课业负担之提高语文课堂教学效果.doc
- 利益冲突论文:利益冲突对政治腐败的影响及其对策研究.doc
- 利益分析法在高校教工思想政治工作中的运用.doc
- 制定战略的原则与方法.doc
- 制图第11次课.doc
- 制度措施类.doc
- 制水稳定的锅炉软化水设备安装步骤介绍.doc
- 制片人手册2011版制品人手册.docx
- 中国气动搅拌机行业发展分析及发展趋势预测与投资风险研究报告.docx
- 2024至2030年互联网+纸巾市场前景研究报告.docx
- 2024至2030年全球及中国卫星制造行业市场调研及投资建议报告.docx
- 2024至2030年版中国教育信息化项目可行性研究报告.docx
- 中国隔离衣行业市场现状分析及竞争格局与投资发展研究报告2024-2029版.docx
- 2024至2030年中国纺织洗涤信息化行业发展监测及投资战略研究报告.docx
- 2024至2030年中国壬二酸盐行业发展预测及投资策略报告.docx
- 2024至2030年中国月子中心行业市场需求与投资规划分析报告.docx
- 2024至2030年中国商铺地产市场发展预测及投资策略分析报告.docx
- 2024至2030年中国工业除尘器市场现状研究分析与发展前景预测报告.docx
最近下载
- 音响灯光系统维保方案.docx VIP
- 第五章——陶瓷基复合材料.ppt VIP
- xxxxxxxxxxx工程创“钱江杯”优质工程情况汇报.docx VIP
- 西华大学电气与电子信息学院课程设计—某农村电网110kV变电所继电保护的配置和整定(3).docx
- xx工程创“钱江杯”优质工程情况汇报.doc
- EN 50124-1-2001铁路设施 — 绝缘配合 — 第 1 部分:基本要求 — 所有电气和电子设备的间隙距离和爬电距离(中文版).doc
- 中国古代的法治与教化 教学设计-【新教材】高中历史统编版(2019)选择性必修1.docx
- (高清版)B-T 3836.1-2021 爆炸性环境 第1部分:设备 通用要求.pdf VIP
- 2022《立体仓库控制系统设计》开题报告.doc VIP
- 2024年银行支部书记党课讲稿集合6篇.docx VIP
文档评论(0)