Windows 2000 的终端服务由于使用简单、方便等特点,备受众多管理员喜爱,很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便,不与当前用户产生一个交互式登陆,可以在后台登陆操作,它也受到了黑客关注。现在我们来通过认真的配置来加强它的安全性。
1。修改终端服务的端口
(点击查看原图)·自己动手编制支持终端打印的TELNET程序·C#开发终端式短信的原理和方法·RealVNC远程终端控制软件存在远程认证·Windows 2000终端服务使用技巧·下一代无线终端的体系结构·解决Windows 2003终端服务许可证过期的·UNIX下实现终端打印的几种方法·在WinXP上安装Vista终端服务客户端·谈Windows2000中的终端服务·网管必知远程终端3389端口合理修改秘藉
修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
(点击查看原图)
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
将这两个分支下的portnumber键值改为你想要的端口。
在客户端这样连接就可以了.
2。隐藏登陆的用户名隐藏上次登陆的用户名,这样可防止恶意攻击者获得系统的管理用户名后进行穷举破解。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDontDisplayLastUserName 的值改为1就可以了。
3。指定用户登陆。为了安全,我们没必要让服务器上所有用户都登陆,譬如以下,我们只允许315safe这个用户登陆到终端服务器,按照如下方法做限制:
在“管理工具”---“终端服务配置”---“连接”,再选择右边的“RDP-TCP”的属性,找到“权限”选项,删除administrators组,然后再添加我们允许的315safe这个用户,其他一律不允许登陆。
4、启动审核
“终端服务”默认没有日志记录,需要手动开启,在RDP-TCP”的属性,找到“权限”选项下“高级”里有个“审核”添加everyone,然后选择需要记录的的事件。
“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。
在D盘目录下,创建2个文件“ts2000.BAT”(用户登录时运行的脚本文件)和“ts2000.LOG”(日志文件)。
编写“ts2000.BAT”脚本文件:
time /t >>ts2000.lognetstat -n -p tcp | find ″:3389″>>ts2000.logstart Explorer
第一行代码用于记录用户登录的时间,“time /t”的意思是返回系统时间,使用追加符号“>>”把这个时间记入“ts2000.LOG”作为日志的时间字段;第二行代码记录终端用户的IP地址,“netstat”是用来显示当前网络连接状况的命令,“-n”用于显示IP和端口,“-p tcp”显示TCP协议,管道符号“|”会将“netstat”命令的结果输出给“find”命令,再从输出结果中查找包含“