windows2003 加强3389终端服务RDP-Tcp的安全性
Windows 2003的终端服务由于使用简单、方便等特点,备受众多管理员喜爱,很多管理员都利用它进行远程管理服务器的一个重要工。然后就是因为它的简单、方便,不与当前用户产生一个交互式登陆,可以在后台登陆操作,它也受到了***关注。现在我们来通过认真的配置来加强它的安全性。
1。修改终端服务的端口
修改注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
将这两个分支下的portnumber键值改为你想要的端口。
在客户端这样连接就可以了.
如果嫌麻烦,记不住那一长串地址,可以在打开注册表后,把所有展开项目都收回,然后点 编辑->查找,在查找目标中输入portnumber,查看框里所有选项都打勾,然后点查找,所有3389的选项都改成你想要的端口就可以了,(快捷键F3可以查找下一个)当然不要和一些常用端口重复。登录时,ip加上冒号再加端口就可以了。(如192.168.0.1:3390)
 
2。隐藏登陆的用户名
隐藏上次登陆的用户名,这样可防止恶意***者获得系统的管理用户名后进行穷举破解。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改为1就可以了。
3。指定用户登陆。
为了安全,我们没必要让服务器上所有用户都登陆,譬如以下,我们只允许3 15safe这个用户登陆到终端服务器,按照如下方法做限制:
在“管理工具”---“终端服务配置”---“连接”,再选择右边的“ RDP-TCP”的属性,找到“权限”选项,删除administrators组,然后再添加我们允许的3 15safe这个用户,其他一律不允许登陆。
4、启动审核
“终端服务”默认没有日志记录,需要手动开启,在 RDP-TCP”的属性,找到“权限”选项下“高级”里有个“审核”添加everyone,然后选择需要记录的的事件。
 
“事件查看器”里终端服务日志很不完善。下面我们就来完善一下终端服务器日志。
 
在D盘目录下,创建2个文件“ts2000.BAT”(用户登录时运行的脚本文件)和“ts2000.LOG”(日志文件)。
编写“ts2000.BAT”脚本文件:
time /t >>ts2000.log
netstat -n -p tcp | find ″:3389″>>ts2000.log
start Explorer
第一行代码用于记录用户登录的时间,“time /t”的意思是返回系统时间,使用追加符号“>>”把这个时间记入“ts2000.LOG”作为日志的时间字段;第二行代码记录终端用户的IP地址,“netstat”是用来显示当前网络连接状况的命令,“-n”用于显示IP和端口,“-p tcp”显示TCP协议,管道符号“|”会将“netstat”命令的结果输出给“find”命令,再从输出结果中查找包含"3389"端口的记录。当然你可以把3389改成你自己设置的端口。