使用終端服務(wù)，可以方便快捷地遠(yuǎn)程管理服務(wù)器。但是，如果終端服務(wù)配置不當(dāng)?shù)脑?，很容易遭到黑客的攻擊。因?yàn)榻K端服務(wù)默認(rèn)使用3389端口，黑客使用掃描器可以很容易發(fā)現(xiàn)攻擊目標(biāo)。因此，將終端服務(wù)端口進(jìn)行更改，可以有效避開黑客的騷擾。使用3389端口修改器這款小軟件，可以毫不費(fèi)力地完成以上操作。在其主界面中的“端口號(hào)”欄輸入新的端口號(hào)，點(diǎn)擊“修改”按鈕即可。

圖9 開啟終端服務(wù)審核項(xiàng)目

當(dāng)黑客探測(cè)到開啟終端服務(wù)的主機(jī)后，在登錄界面中會(huì)發(fā)現(xiàn)上次登錄的賬戶名，這對(duì)服務(wù)器安全很不利，黑客可以據(jù)此來(lái)破解密碼。運(yùn)行注冊(cè)表編輯器，打 開“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支。在右側(cè)窗口中將“DontDisplayLastUserName”項(xiàng)的指修改為1，就可以禁止讓系統(tǒng)記錄上次登錄的賬戶名。為了安全的需要，沒有必要讓服務(wù)器上的所有賬戶都擁有登錄終端服務(wù)的能力，我們可以讓一個(gè)指定的賬戶（例如“rdpuser”）自由登錄終端服務(wù)，其余的賬戶禁止登錄，當(dāng)然該賬戶只能屬于Administrators組。點(diǎn)擊“開始”→“管理工具”→“終端服務(wù)”→“終端服務(wù)配置”項(xiàng)，在彈出窗口中的“連接”欄中的“RDP-Tcp”項(xiàng)的右鍵菜單中點(diǎn)擊“屬性”項(xiàng)，在屬性窗口中的“安全”面板中刪除“Administrators”組，點(diǎn)擊“添加”按鈕，將指定的賬戶添加進(jìn)來(lái)，選中該賬戶，為其開啟完全控制，用戶訪問，來(lái)賓訪問等權(quán)限。除了SYSTEM賬戶外，分別選擇其它的組，在“拒絕”列中選擇所有的項(xiàng)目，拒絕其訪問終端服務(wù)。

在默認(rèn)情況下，系統(tǒng)沒有對(duì)終端服務(wù)開啟日志記錄功能。為了安全起見，及時(shí)追蹤黑客的活動(dòng)蹤跡，需要手工開啟針對(duì)終端服務(wù)的記錄功能。在RDP-TCP屬性窗口中的“權(quán)限”面板中點(diǎn)擊“高級(jí)”按鈕，在彈出窗口中的“審核”面板（如圖9所示）中點(diǎn)擊“添加”按鈕，之后在審核項(xiàng)目窗口中的“登錄”欄中勾選“成功”和“失敗”項(xiàng)，在“注銷”欄中勾選“成功”項(xiàng)，在“斷開”欄中勾選“成功”項(xiàng)。點(diǎn)擊確定按鈕，保存審核設(shè)置信息。

使用記事本編輯一個(gè)批處理文件，其內(nèi)容為：

之后將其保存為“zdfw.bat”文件，該程序可以在使用者登錄終端服務(wù)器時(shí)，記錄當(dāng)時(shí)的日期時(shí)間信息，還可以將來(lái)訪者的IP地址記錄下來(lái)，并將其保存在“3389log.txt”文件中，注意，如果您修改了終端服務(wù)端口的話，需要在其中替換默認(rèn)的3389端口號(hào)。在RDP-TCP屬性窗口中的“環(huán)境”面板中選擇“用戶登錄是啟用下列程序”項(xiàng)，在“程序路徑和文件名”欄中輸 入“C:Windowszdfw.bat”，在“起始于”欄中輸入“C:Windows”，假設(shè)該文件保存在“C:Windows”目錄中。為了安全起見，最好將該文件設(shè)置為隱藏狀態(tài)。

即使更改了終端服務(wù)端口，也不能完全排除黑客侵襲的可能。最好的辦法是利用系統(tǒng)自帶安全策略，只允許指定的IP才可以訪問終端服務(wù)，而將其余的IP拒之門外。運(yùn)行“secpol.msc”命令，在本地安全設(shè)置窗口左側(cè)的“IP安全策略，在本地計(jì)算機(jī)”項(xiàng)的右鍵菜單上點(diǎn)擊“創(chuàng)建IP安全策略”項(xiàng)，在向?qū)Т翱谥悬c(diǎn)擊下一步按鈕，設(shè)置策略名稱（例如“允許特定IP訪問終端服務(wù)”）和描述信息，在下一步窗口中取消“激活默認(rèn)響應(yīng)規(guī)則”項(xiàng)的選擇狀態(tài)。

圖10 配置協(xié)議信息

圖11 設(shè)置尋址信息

雙擊剛才創(chuàng)建的IP策略，在彈出窗口中取消“使用添加向?qū)А表?xiàng)的選擇狀態(tài)。點(diǎn)擊添加按鈕，在彈出窗口中的“IP篩選器列表”面板中點(diǎn)擊“添加”按鈕，輸入本篩選器名稱（例如“拒絕任何IP訪問終端服務(wù)”）和描述信息。點(diǎn)擊添加按鈕，同樣不選擇“使用添加向?qū)А表?xiàng)。繼續(xù)點(diǎn)擊添加按鈕，在“尋址”面板中的“源地址”列表中選擇“任何IP地址”，在“目標(biāo)地址”列表中選擇“我的IP地址”項(xiàng)。在“協(xié)議”面板（如圖10所示）中的“選擇協(xié)議類型”列表中選擇“TCP”，先選擇“從任意端口”項(xiàng)，再選擇“到此端口”項(xiàng)，將端口設(shè)定為3389（或者修改后的終端服務(wù)端口）。之后完成本篩選器創(chuàng)建操作。在“IP篩選器列表”面板選擇“拒絕任何IP訪問終端服務(wù)”篩選器項(xiàng)，在“篩選器操作”面板中點(diǎn)擊添加按鈕，選擇“阻止”項(xiàng)，在“常規(guī)”面板中輸入其名稱，例如“阻止網(wǎng)絡(luò)訪問終端服務(wù)”。完成本IP安全策略的創(chuàng)建操作。

之后在“篩選器操作”面板中選擇“阻止網(wǎng)絡(luò)訪問終端服務(wù)”項(xiàng)，點(diǎn)擊確定按鈕，返回上述安全策略屬性窗口，選擇上述“允許特定IP訪問終端服務(wù)”策略，點(diǎn)擊“添加”按鈕，按照上述方法創(chuàng)建名為“允許指定IP訪問本機(jī)終端服務(wù)”的篩選器，在其屬性窗口中“尋址”面板（如圖11所示）中的“源地址”列表中選擇“一個(gè)特定的IP地址”或者“一個(gè)特定的子網(wǎng)”，在“目標(biāo)地址”列表中選擇“我的IP地址”項(xiàng)。并在“篩選器操作”面板中創(chuàng)建新的操作規(guī)則，在“安全措施”面板中選擇“許可”項(xiàng)，來(lái)創(chuàng)建新的篩選器，具體的步驟和上述幾乎完全相同，這里不再詳述。這樣，在“允許特定IP訪問終端服務(wù)”策略中就包含了兩個(gè)篩選器，實(shí)現(xiàn)了只允許特定IP訪問本機(jī)終端服務(wù)的目的。在該IP策略項(xiàng)的右鍵菜單上點(diǎn)擊“指派”項(xiàng)，就可以激活保護(hù)動(dòng)作，阻止非法用戶訪問終端服務(wù)了。