您所在的位置:欢聚电脑网 > 网络技术 > 网络安全> 正文

网管心得:终端服务的概念和安全管理

   11-23   关键字:网络   来源:www.huanju.org

说起终端服务,各位管理员和黑客应该都非常地熟悉,但普通读者可能就感到迷茫。这里先给各位读者简单地介绍一下什么是终端服务。
  终端服务是在Windows NT中首先引入的一个新服务。终端服务使用RDP协议(远程桌面协议)客户端连接,使用终端服务的客户可以在远程以图形界面的方式访问服务器,并且可以调用服务器中的应用程序、组件、服务等,和操作本机系统一样。这样的访问方式不仅大大方便了各种各样的用户,而且大大地提高了工作效率,并且能有效地节约企业的成本。默认终端服务所使用的端口是3389端口。但是如果对它设置不当,反而会给黑客敞开入侵之门,所以我们必须绝对控制它。

  1  终端服务用户账户安全

  终端服务最大的安全隐患在于用户账户安全。如果你的服务器装有终端服务,那么你一定要管理好服务器中用户密码的安全。千万要避免你的终端服务器中出现弱口令,一定要给你的Administrator用户一个强大的密码。如果现在你的用户密码还是为空,或者使用12345等等这些密码,那么你的服务器被黑客入侵只是时间的问题。

  2 修改终端服务的默认端口

  为了保证我们的终端服务器不被黑客非法入侵,我们可以使用修改终端服务默认端口的方法来达到提高终端服务器安全的目的。终端服务使用的默认端口是3389端口,而通过注册表用户就可以轻松地修改终端服务的默认端口。具体配置方法如下:

  在注册表编辑器[HKEY_LOCAL_M ACHINESystemCurrentControlSetContro lTerminal ServerWdsdpwdTds cp]中找到PortNumber键值,选择十进制状态(图1),用户可以看到终端的默认端口是3389,接着用户就可以根据个人的情况进行修改,比如改为1025端口。


图1

  修改完成之后,很多用户一定会问如何才能连接这个已经修改端口后的终端服务器呢?其实方法非常简单,用户只需要打开终端客户端,在当中填入终端服务器的IP地址,并在地址后面加上一个冒号,再填入修改以后的端口号,即可连接上(图2)。


图2通过修改终端服务的默认端口,能在一定程度上加强终端服务器的安全性。但黑客也可以利用修改终端服务的默认端口达到隐藏自己入侵痕迹的目的。

  3 查看终端服务器中的可疑用户

  使用终端服务的很多用户可能会问一个问题,如果黑客连接上了我们的终端服务器,我们要如何才能查看到终端服务器当前已登录的用户呢?其实方法非常简单,用户只需要选择“开始”菜单中的“运行”命令,输入“cmd”打开命令行控制台。在其中键入query user ( 意为查询用户,也可以简写为quser),便可以查看当前终端服务器中的用户列表(图3)。大家可以从图3中看到,有哪些用户登录。其中带“console”是终端服务器的本地用户,其余的都是远程连接。如果在这个列表中发现了可疑的连接。管理员可以根据这个连接的ID号,断开这个连接。就是我们常说的“踢”人,只需要键入logoff ID (如断开连接2,键入logoff 2)即可 。

  

图3 4 黑客应对管理员的手段

  使用这种方法来查看可疑的连接,使得大多数的黑客都逃不出管理员们的“火眼金睛”。难道黑客在终端服务器中就没有生存空间?很快黑客们想出了一个巧妙的方法。每次连接上终端服务器以后,编辑如下一段批处理文件到终端服务器上:

以下是引用片段:
  :begin
  query user| find “console”
  if errorlevel 1 logoff 1&&logoff 2
  goto begin


  这段批处理文件的意思非常简单,如果query user(即quser)后出现console字样,马上切断ID1和ID2的用户。如此巧妙的一个思路,使得黑客可以在管理员的眼皮底下溜掉。这样使得一些管理员以为自己的服务器非常安全,其实早已经被黑客拿下。

  5 在命令行模式下开启终端服务

  一些黑客,在使用其他方法拿到系统的CmdShell后,如果他觉得命令行黑乎乎的界面,不利于他对系统直观的管理。那么黑客可以利用命令行的方式来开启系统中的终端服务。黑客只需要把下面这段批处理文件上传到远程系统当中,然后执行这段批处理文件,远程系统将会在不弹出任何窗口、不调用任何安装程序的情况下安装并开启终端服务。

以下是引用片段:
  echo [Components]>c:acke
  echo TSEnable=on >>c:acke
  sysocmgr /I:c:winntinf /u:c:acke /q /r


  但是运行完毕以后,必须等待服务器重新启动,黑客才能够连接上。如果一些黑客比较心急,那么他可以去掉这段批处理文件当中的“r”参数,那么远程系统在运行完这段批处理文件以后就会自动重启。

  使用这种方法安装的终端服务,非常隐蔽,不易被发现,但并不是没有任何破绽。在任务管理器中,管理员可以发现有Terminal这个进程。既然管理员自己并没有安装终端服务,那么可以判定一定有黑客入侵了我们的系统。

  6 Windows XP的终端服务特性

  Windows XP系统中的终端服务和Windows 2000中的终端服务有着天壤之别。

  首先开启Windows XP系统中的终端服务非常简单,只需要右击“我的电脑”,在弹出的“系统属性”对话框中选择“远程”,并且勾上“远程桌面”选项,即可打开Windows XP中的终端服务。不过Windows XP的用户大可不必担心自己的终端服务会被黑客利用。因为Windows XP是客户端操作系统,不支持多用户功能。如果有黑客连接上了你的Windows XP系统,系统将提示有一个用户连接到系统,并且询问当前用户是否同意他的连接,如果选择不同意的话,黑客无论如何也无法连接上这个系统的终端服务。如果同意的话,Windows XP系统的当前用户会被强制注销。但是当前用户只需要动一下鼠标,黑客又会被“踢掉”。

  相信这些思路和方法一定会给各位读者很多启发和帮助。那么大家不要再犹豫,赶快动手把我们的终端服务器配置得更加安全。

 

如果你觉得这篇网络安全很有用,请和朋友分享:
分享 |
休息一下