讓你的終端服務器“固若金湯”

  眾所周知，WINDOWS2000（簡稱WIN2000）服務器器提供了一個基于遠程桌面協議（RDP）的服務---終端服務，它是一個很優秀的遠程管理軟件，使WIN2000成為真正的多會話環境操作系統，并且為每個登錄的用戶提供自己唯一的環境，用戶能使用服務器上的各種合法資源，但終端服務器為用戶提供方便的同時，也帶來了很多安全隱患，如何解決這些問題呢？下面就結合自己的一些經驗，談談使用終端服務器的一些技巧。
 


 一、修改終端服務器的默認端口號
    大家都知道，終端服務器使用3389端口提供服務的，有些管理人員不想使用默認的端口號，因為用端口掃描程序很容易找到某一網段所以的終端服務器，這個安全帶來很大隱患，現在我們用NETSCAN試試，看看會有什么結果。
  我們用NETSCAN掃描61.190.141.*網段的3389端口（圖一），就會找到若干臺3389端口開放的機器，這樣網絡中的終端服務器就很容易被找到，如果這些人“心懷叵測”，服務器就可能遭受損失，所以很多管理員想更改默認的端口號，但終端服務器管理工具沒給我們提供這個功能，難道沒辦法修改了嗎？其實試有的，我們可以通過修改注冊表來實現。
    1、修改終端服務器服務端的端口號
  單擊“開始-->運行”，在彈出的運行對話框中輸入“regedit",點擊”確定“，在注冊表編輯器左欄中依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp”，在右欄中找到“PortNumber”（圖二），雙擊打開編輯對話框，可以看到其值為“d3d”，轉換成十進制就是“3389”，將其值更改為你想要的端口值即可。
然后在注冊表編輯器左欄（圖三），依次展開“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”，在右欄中找到“PortNumber“，雙擊后，在編輯修改框中輸入你”修改后的端口值“，單擊”確定“，重新啟動機器后修改即可生效。
    2、修改客戶端的端口號
  服務器端修改完成后，如果不修改客戶端，客戶將不能連接到終端服務器，下面我們就修改客戶端。
  打開Terminal Server Client的”客戶端連接管理器“，選擇需要修改端口的連接項目（圖四），點擊”文件-->導出 ，然后將導出的文件以.cns保存在硬盤上，用”寫字板程序“打開此文件，修改”Server Port“為服務器所使用的端口號（圖五），保存修改，最后導入該cns文件至Terminal Server的客戶端管理器即可。
 以上就完成了終端服務的端口號修改。


二、Terminal Server的日志完善
    終端服務是一個功能強大而且只受到密碼保護的服務，一旦入侵者擁有了管理員密碼，就能夠象使用本機一樣控制遠程服務器，現在很多終端服務器沒有打開終端服務的日志，這是非常的危險，現在我們就打開打開”日志審核“。
    1、打開終端服務器的日志審核
  在服務器端，依次選擇”開始--->程序--->管理工具--->終端服務配置“,在終端服務配置窗口左欄中選擇”終端服務配置-->連接“，在右欄中右擊”RDP--TCP“，在彈出的菜單中選擇屬性，切換到”權限“選項頁，單擊左下角”高級“按鈕，切換到”審核“頁，單擊”添加“，在”選擇用戶和組“列表框中選擇”Everyone“（加入一個Everyone組代表所有的用戶），點擊”確定“，彈出”RDP--TCP審核的項目“對話框（圖六），在這里審核它的"連接"、"斷開"、"注銷"、"登錄"的成功和失敗就可以了，審核太多了反而不好，在”訪問“框中鉤選你想審核的項目，鉤選完成后，單擊”確定“即可。
   2、完善終端服務審核日志
     網絡管理員打開”事件查看器“，發現終端服務日志很不完善，只能記錄登錄用戶的”機器名“，沒辦法記錄它的IP地址，用機器名去查找用戶是很愚蠢的，不要著急，我們可以自己來完善日志。
    在C盤目錄下，創建2個文件TS.BAT和TS.LOG,TS.BAT是用戶登錄是要運行的腳本文件,TS.LOG為日志文件(安全起見,可以將2個文件放在某個比較隱藏的目錄下).
  TS.BAT腳本文件內容如下:
   time /t >>TS.log
   .netstat -n -p tcp | find ":3389">>TS.log
   start Explorer

第一行是記錄用戶登錄的時間，"time /t"的意思是返回系統時間，使用用追加符號">>"把這個時間記入TS.log作為日志的時間字段
第二行是記錄用戶的IP地址，"netstat"是用來顯示當前網絡連接狀況的命令，"-n"表示顯示IP和端口,，"-p  tcp"是只顯示tcp協議，然后用管道符號"|"把這個命令的結果輸出給find命令,從輸出結果中查找包含":3389"的行,最后把這個結果重定向到日志文件TS.log.
 最后一行加上了啟動Explorer的命令"start Explorer".

現在把TS.BAT腳本設置成用戶的登錄腳本.
在終端服務配置中,點擊"連接",在右框中右擊”RDP--TCP“,單擊"屬性"選項,在彈出的屬性窗口中,切換到"環境"頁(圖七),在初始程序下,鉤選"替代用戶配置文件和客戶端連接管理器向導的設置",然后在下面的"程序路徑和文件名"輸入"c:\tsl.bat"和"C:\",單擊"確定"完成設置.
 現在我們使用客戶端管理器登錄服務器后,打開TS.LOG日志, 就會發現多了"
22:08
  TCP    218.22.123.26:3389     61.190.141.25:1115     ESTABLISHED"這個記錄,
 "22:08"是登錄時間,"61.190.141.25"就是客戶的IP.
如果你的終端服務器端口號修改了,不是默認的3389,TS.BAT腳本文件也要做相應的修改.
 

三、提高會話的加密級別
  終端服務器默認的加密級別是”中級“，可以通過提高級別來增強服務器的安全性。
  在服務器端，依次選擇”開始--->程序--->管理工具--->終端服務配置“,在終端服務配置窗口左欄中選擇”終端服務配置-->連接“，在右欄中右擊”RDP--TCP“，在彈出的菜單中選擇屬性，在”常規“選項頁中（圖八），點擊”加密級別“下拉列表，選擇”高“，單擊”確定“，
 這樣就可以提高傳輸數據的安全性。


四、操作系統補丁
  很多朋友記得在WIN2000沒安裝SP2補丁時存在一個輸入法漏洞，用戶在不知道管理員密碼的情況下，可以通過這個漏洞直接獲得管理員權限，這是系統本身存在的問題，只能通過下載補丁來修復，老的問題解決了，新的問題還會存在的，因此要經常登錄微軟的官方站點下載最新的補丁。,

原文轉自：http://www.kjueaiud.com