加强终端服务的安全.doc

加强终端服务的安全性 Windows 2000 的终端服务由于使用简单、方便等特点，备受众多管理员喜爱，很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便，不与当前用户产生一个交互式登陆，可以在后台登陆操作，它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。1。修改终端服务的端口修改注册表:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp和HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp将这两个分支下的portnumber键值改为你想要的端口。 在客户端这样连接就可以了.2。隐藏登陆的用户名 隐藏上次登陆的用户名，这样可防止恶意攻击者获得系统的管理用户名后进行穷举破解。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonDontDisplayLastUserName 的值改为1就可以了。3。指定用户登陆。为了安全，我们没必要让服务器上所有用户都登陆，譬如以下，我们只允许315safe这个用户登陆到终端服务器，按照如下方法做限制：在“管理工具”-“终端服务配置”-“连接”，再选择右边的“RDP-TCP”的属性，找到“权限”选项，删除administrators组，然后再添加我们允许的315safe这个用户，其他一律不允许登陆。4、启动审核 “终端服务”默认没有日志记录，需要手动开启，在RDP-TCP”的属性，找到“权限”选项下“高级”里有个“审核”添加everyone，然后选择需要记录的的事件。“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。在D盘目录下，创建2个文件“ts2000.BAT”（用户登录时运行的脚本文件）和“ts2000.LOG”（日志文件）。编写“ts2000.BAT”脚本文件：time /t ts2000.lognetstat -n -p tcp | find :3389ts2000.logstart Explorer第一行代码用于记录用户登录的时间，“time /t”的意思是返回系统时间，使用追加符号“”把这个时间记入“ts2000.LOG”作为日志的时间字段；第二行代码记录终端用户的IP地址，“netstat”是用来显示当前网络连接状况的命令，“-n”用于显示IP和端口，“-p tcp”显示TCP协议，管道符号“|”会将“netstat”命令的结果输出给“find”命令，再从输出结果中查找包含“3389”的行，最后把这个结果重定向到日志文件“ts2000.LOG”；最后一行为启动Explorer的命令。把“ts2000.BAT”设置成用户的登录脚本。在终端服务器上，进入“RDP-Tcp属性”窗口，并切换到“环境”框，勾选“替代用户配置文件和远程桌面连接或终端服务客户端的设置”，在“程序路径和文件名”栏中输入“D：ts2000.bat”，在“开始位置”栏中输入“D：”，点击“确定”即可完成设置。此时，我们就可通过终端服务日志了解到每个用户的行踪了。5。限制、指定连接终端的地址 启用服务器自带的IPSEC来指定特定的IP地址连接服务器。首先禁止所有3389的连接。1。在“本地安全策略”选择“IP安全策略，在本地机器”，在右边的空白处按右键，“创建IP安全策略”，下一步，给策略取名（如3389），不选“激活默认响应规则”，完成，这是会打开一个对话框，是新建立策略（3389）的属性。2。添加新建规则，出现“IP筛选器列表”，起名叫all_3389，不选“使用添加向导”再按“添加”。按“确定”、“关闭”回到“新规则”属性窗口，选中刚设置的规则“all_3389”,再按“筛选器操作”选项，“筛选器操作”里没有我们的“阻止”我们新建立一项阻止。还是不选“使用添加向导”，按“添加”，在弹出的对话框中，在“安全措施”处选“阻止”项。再按“常规”，在“名称”处给他起个名字，如”阻止3389“，然后确定回到”新规则“属性的”筛选器操作”处，选中刚才建立的“阻止3389”，再按“关闭”，回到开始时的“本地安全设置”对话框，选中“3389”后指派。这样所有的机器都无法连接到我们终端服务器了。3。同样服务器也被栏在外面了，下面我们建立一条规则，只允许服务器信任的机器进行连接，譬如219.139.240.90 .我们打开“3389”的属性，不选“使用添加向导”，按“添加”，打开“新规则”属性，再按“添加”，出现“IP筛选器列表”，给它起个名字OK_3389,不选使用添加向导，再按”添加“，出现”筛选器“属性，”寻址“选项设置成如图。 协议处设置TCP，3389，在”筛选器操作“里选择”允许“。这样就OK了，这样除了我们自己信任的机器，其他任何机器都无法