出版日期：2004-03-08　总期号：1294　本年期号：15

本期导读 要闻综合 中国信息化 网络与通信 软件与服务 产品与应用 渠道与市场 信息安全 存储世界 华东专刊 华南专刊 西北专刊 东北专刊 西南专刊

远程管理别留后门 尹红祥 　　微软的终端服务（内置于Windows2000和Windows2003中）和Windows XP的远程桌面，为系统管理员以及普通用户提供了一个方便且易于使用的管理远程计算机和利用远程计算机应用程序和相关文件的好方法。但是，一种新的技术，有利就有弊，当我们充分享受它带给我们的便利时，安全性的问题却日益突出。终端服务本身会使用RDP协议，并打开3389端口，再加上微软操作系统本身的很多漏洞，这些原因都会造成终端服务的不安全，因此，我们需要采取措施，确保这个重要服务的安全。 　　系统所开的服务越少越安全，当我们并不需要时，应该关闭它。在默认情况下，Windows2000和Windows2003关闭了终端服务。这些都可在管理工具的服务中配置。 　　如果我们非得启用终端服务，那么，以下将是我们需要做的。 　　对RDP-TCP连接限制。设置终端连接进程的时间限制，严格控制客户端连接进程的数量，设置加密级别。配置终端服务器上的用户和组的权限。以及更改终端服务默认端口号，加强日志审核和记录。 　　我们可以对终端服务器端和客户端的数据传输加密。微软定义将使用RSA RC4加密。我们可以设置下面三种加密级别：高，使用128位加密，在服务器端和客户端之间相互传输的所有数据；中，如果客户端是Windows2000及以上版本，将使用56位加密，在服务器端和客户端相互传输数据，如果是Windows2000以下版本，将使用40位加密；低，只保护从客户端到服务器端发送的用户名和密码，根据客户端操作系统的不同，选择使用56位和40位加密。 　　在终端服务器的管理工具中选择“终端服务配置”，选择“连接”，然后，右击选择“RDP-TCP”，选择“属性”，在“常规”选项卡的“加密级别”中，我们可以相应修改。 　　然后，可以选择“RDP-TCP”的连接属性，选择“权限”选项卡，设置用户、组、计算机在终端服务器中的权限。这里有三种基本权限：完全控制、用户控制、访问控制。 　　在活动目录结构中，还可以对每个用户的终端服务连接设置。在用户属性的终端服务配置文件选项中，选择“是否允许此用户登录到终端服务器”。 　　在“RDP-TCP”的属性中，还可以设置“当时间到期时，连接是否中断”，设置“当连接结束后，用户是否可以从其他任何计算机上远程重新连接，还是只能从原来的计算机上连接”。 　　加强日志审核可以帮助我们更好地管理终端服务器。 　　在终端服务器上的“权限”框中点击“高级”按钮，进入“审核”框，再点击“添加”，在“选择用户和组”列表框中选择想要审核的用户名和组，并点击“确定”，弹出“RDP-Tcp的审核项目”对话框，在框中勾选想审核的项目后，点击“确定”即可。这样就可以打开终端服务器的日志审核。 　　接着加强对每个登录用户行踪的检查。在终端服务器的某个目录下，好比在D盘中创建2个文件“ts2004.BAT”（用户登录时运行的脚本文件）和“ts2004.LOG”（日志文件）。 　　编写“ts2004.BAT”脚本文件： 　　time /t >>ts2004.log 　　netstat -n -p tcp | find ″:3389″>>ts2004.log 　　start Explorer 　　第一行代码用于记录用户登录的时间，“time /t”的意思是返回系统时间，使用追加符号“>>”把这个时间记入“ts2003.LOG”，作为日志的时间字段；第二行代码记录终端用户的IP地址，“netstat”是用来显示当前网络连接状况的命令，“-n”用于显示IP和端口，“-p tcp”显示TCP协议，管道符号“|”会将“netstat”命令的结果输出给“find”命令，再从输出结果中查找包含“TCP：3389”的行，最后,把这个结果重定向到日志文件“ts2004.LOG”；最后一行为启动Explorer的命令。 　　把“ts2004.BAT”设置成用户的登录脚本。在终端服务器上，进入“RDP-Tcp属性”窗口，并切换到“环境”框，勾选“替代用户配置文件和远程桌面连接或终端服务客户端的设置”，在“程序路径和文件名”栏中输入“D：\ts2004.bat”，在“开始位置”栏中输入“D：\”，点击“确定”即可完成设置。此时，我们就可通过终端服务日志了解到每个用户的行踪了 　　终端服务的端口默认是3389。但我们也可通过注册表修改，起到安全的作用。将下面两个注册表键中的PORTnimber均修改成自定义的端口即可: 　　HKLM\SYSTEM\CurrentControlSet\Control \Terminal Server\Wds\rdpwd\Tds\tcp 　　HKLME\SYSTEM\CurrentControlSet\Control \Terminal Server\WinStations\RDP-Tcp 　　然后修改客户端，打开Terminal Server Client的客户端管理器，导出连接文件（后缀名为cns），用记事本打开该cns文件，搜索“Server Port”，修改该值，与服务器保持一致即可（注意进制的转换）。最后,导入该cns文件至Terminal Server的客户端管理器。 　　其实,我们可以综合运用别的方法加强终端服务器的安全，比如可以利用VPN功能加密通道，这些方法都是在实际工作中积累起来的经验。 　　总之，终端服务器如果配置得当，再加上对操作系统的安全维护，我们完全可以放心地工作。