使用微信扫一扫
扫一扫关注官方微信 远程桌面连接相关安全问题集锦
- 来源:纵横数据
- 作者:中横科技
- 时间:2015/11/10 16:54:09
- 类别:新闻资讯
服务:
Terminal services 自启
Remote access connection manager 手启
Remote procedure call(RPC) 自启
端口:
修改服务器远程桌面连接的端口设置 ,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默认是3389(0xd3d),修改成所希望的端口.
第二个地方:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
PortNumber值,默认是3389(0xd3d),修改成所希望的端口.
查端口:
netstat -an | find "3389"
允许远程:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"=dword:00000000
==================================================================
3389远程终端安全配置全攻略
一.修改终端服务的端口:
修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
二个分支下的portnumber键值改为你想要的端口.
改好后,客户端连接可以:
ip:端口号 比如 192.168.1.3:100
二.隐藏上次登陆的用户名:
防止被恶意破解3389管理员用户密码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改为1就可以了。
DontDisplayLastUserName 的值改为1就
三.限止指定用户可登陆终端
为了安全,没必要让服务器所有用户都允许登陆,我们可以指定一个管理员账号可以登陆.比如用户hack
在“管理工具”---“终端服务配置”---“连接”,再选择右边的“RDP-TCP”的属性,找到“权限”选项,删除administrators组,然后再添加我们允许的hack这个用户,其他一律不允许登陆。
四.启动3389审核
“终端服务”默认没有日志记录,需要手动设置开启方法如下:
在RDP-TCP”的属性,找到“权限”选项下“高级”里有个“审核”添加everyone,然后选择需要记录的的事件。
一般审核以下几个事件:
登录 成功 失败
注销 成功
断开 成功
五.制作3389事件查看器:查看登录的IP地址情况
首先创建2个批处理文件:
3389log.bat :用户登录时运行的脚本文件.
3389log.txt :记录3389登录的IP地址.
编写"3389log.bat"脚本文件:
date /t >>3389log.txt
time /t >>3389log.txt
netstat -n -p tcp | find ":3389">>3389log.txt
start Explorer
解释:
第一行代码用于记录用户登录的时间
第二行代码记录终端用户的IP地址
netstat”是用来显示当前网络连接状况的命令,“-n”用于显示IP和端口,“-p tcp”显示TCP协议,管道符号“|”会将“netstat”命令的结果输出给“find”命令,再从输出结果中查找包含“ 3389”的行,最后把这个结果重定向到日志文件“3389log.txt”.
最后一行为启动Explorer的命令.
1.进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
2.切换到“环境”页下,启用“用户登录时启用下列程序”
3.在程序路径和文件名处填写c:\hack\3389log.bat;并在起始于填写:c:\hack\
4.搞完了隐藏咱们的BAT和LOG文件,完事!
==================================================================
远程登陆同一终端
终端服务配置(Tscc.msc)的使用
使用终端服务配置可以更改本地计算机上该连接的属性、添加新连接或设置服务器。打开“控制面板”—〉“管理工具”,单击“终端服务器配置”启动终端服务配置窗口。
单击左边窗口的“服务器设置”;在右边窗口可实现以下设置:
(1)允许多用户以同一个用户名登录:可双击“限制每个用户使用一个会话”,选“是”为限制一个用户登录,去掉其中的选项(即选“否”)允许多用户同时自动登录,可使多个用户以相同用户名连接到相同的服务器,使得一般的多用户应用非常方便。
(2)设置多用户使用相同的临时文件夹:可修改“进行每个会话时使用临时文件夹”,选“是”使用不同临时文件夹,选“否”为相同,同样可设置退出时是否删除临时文件夹。
以上设置也可使用组策略配置:打开“组策略”(gpedit.msc),在“计算机配置”—〉“管理模板”—〉“Windows 组件”—〉“终端服务”中可进行配置,配置项目与“终端服务配置”基本相同,但有更详尽的说明。
使用组策略的更多设置如:是否允许永久连接、强制删除远程桌面壁纸、客户端/服务器的更多重定向、会话目录设置、是否允许用户使用与原始客户端计算机不同的计算机重新连接已断开的终端服务会话等。
