引言:使用遠(yuǎn)控服務(wù),可以讓網(wǎng)管員靈活的管理遠(yuǎn)程主機(jī)。提起遠(yuǎn)控服務(wù),大家一般都會(huì)想到終端服務(wù)/遠(yuǎn)程桌面,TeamView等工具。其實(shí),同這些遠(yuǎn)控工具相比,PcAnyWhere具有功能強(qiáng)大,易于使用等特點(diǎn),在遠(yuǎn)控領(lǐng)域獨(dú)樹一幟。PcAnyWhere提供了很多貼心的設(shè)計(jì),內(nèi)置了諸多實(shí)用性很強(qiáng)的功能,是很多網(wǎng)管員喜歡的工具。不過,如何提高其安全性,使其更好的為我們服務(wù),是網(wǎng)管員不可回避的問題。
在通常情況 下,PcAny Where的安全性存在一些問題,因?yàn)槠洚a(chǎn)生的“*.cif”密碼文件很容易破解。在很多入侵案例中,黑客往往采取利用網(wǎng)站漏洞,上傳WebShell木馬,之后下載PcAnyWhere密碼文件。對(duì)其破解后,利用獲取的密碼連接目標(biāo)主機(jī)。黑客甚至在本地上安裝PcAnyWhere,之后創(chuàng)建一個(gè)“.cif”密碼文件,之后利用WebShell的文件上傳功能,將密碼文件直接存放到“C:Document and SettingsAllUsersApplication DataSymantecpcAnywhereHosts”文件夾中,之后使用預(yù)設(shè)密碼連接被控機(jī)。因?yàn)樵谀J(rèn)情況下,對(duì)于PcAnyWhere存儲(chǔ)密碼文件的目錄來說,即使是Users組的賬戶也擁有完全控制權(quán)限!PcAnyWhere有一個(gè)特點(diǎn),高版本可以兼容低版本,因此,黑客可以很輕松的創(chuàng)建和上傳密碼文件。
為了抗擊黑客對(duì)PcAnyWhere的威脅,很多網(wǎng)管員會(huì)使用系統(tǒng)自帶的IPSEC安全策略,針對(duì)PcAnyWhere使用的端口創(chuàng)建安全規(guī)則,只允許的IP連接被控端主機(jī)?;蛘呤褂肞cAnyWhere內(nèi)置的安全機(jī)制,實(shí)現(xiàn)對(duì)登錄地址的識(shí)別,進(jìn)而阻止黑客獲得連接密碼后發(fā)起的攻擊行為。但是,上述方法也存在一定的問題,一旦網(wǎng)管員更換了IP(例如使用ADSL方式上網(wǎng)或者是動(dòng)態(tài)IP等),就無法連接PcAnyWhere被控端了。其實(shí),在PcAnyWhere中已經(jīng)內(nèi)置了Serial ID安全認(rèn)證機(jī)制,可以完美的解決上述問題。讓黑客即使知道了連接的用戶名和密碼,也無法對(duì)PcAnyWhere主機(jī)進(jìn)行非法控制,而網(wǎng)管員則可以在任意主機(jī)上連接PcAnyWhere被控端,實(shí)現(xiàn)自由的遠(yuǎn)控操作。
圖1 創(chuàng)建Serial ID安全文件
PcAnyWhere的Serial ID安全驗(yàn)證機(jī)制的作用就是限定基本的登錄環(huán)境,即使用戶名和密碼被盜,黑客也無法登錄到使用了Serial ID驗(yàn)證機(jī)制的主機(jī)上。在被控端按照常規(guī)步驟,安裝好PcAnyWhere,在其主界面左側(cè)的“查看”框中點(diǎn)擊“轉(zhuǎn)到高級(jí)視圖”項(xiàng)。切換到高級(jí)視圖界面,在左側(cè)的“PcAnyWhere 管理器”框中點(diǎn)擊“串口表示集合”項(xiàng),在右側(cè)窗口空白處點(diǎn)擊右鍵,在彈出菜單(如圖1所示)中點(diǎn)擊“新建”→“項(xiàng)目”項(xiàng),在彈出窗口中的“使用以下串口來限制主機(jī)連接”欄中輸入SerialID號(hào),注意其范圍要大于0小于4294967296.如果超出該范圍,PcAnyWhere就彈出序列ID值無效的提示。點(diǎn)擊添加按鈕,將其添加到序號(hào)列表中。當(dāng)然,可以添加多個(gè)Serial ID號(hào),這些序號(hào)不能相同。點(diǎn)擊確定按鈕,完成Serial ID文件的創(chuàng)建操作。如果采用默認(rèn)安裝,其存放路徑為“C:Documents and SettingsAll UsersApplication DataSymantecpcAnywhereSerial ID Sets”。為了便于使用,最好將其備份起來。
要想發(fā)揮Serial ID認(rèn)證的功能,需要使用Symantec Package這款工具,來創(chuàng)建特定的PcAnyWhere安裝包。使用Symantec Package這款工具,可以創(chuàng)建,修改自定義安裝包,之后將其發(fā)布給所需用戶即可。此外,使用該工具還可以創(chuàng)建只包含用戶所需功能的設(shè)置項(xiàng)目的安裝包,這樣利用定制適合企業(yè)環(huán)境的軟件環(huán)境。當(dāng)然,也可以使用Serial ID驗(yàn)證方式,來限制登錄用戶的身份。使用WinMount等工具打開PcAnyWhere安裝光盤文件,在其中運(yùn)行“setup.exe”程序,在安裝界面中點(diǎn)擊“View Other Installation Options” 鏈接,在彈出窗口中點(diǎn)擊“Download System Package”鏈 接,下 載Symantec Package安裝包。也可以打開網(wǎng)址“http://www.solutionsam.com/solutions/public/pcAnywhere/v12_5/Packager/Packager_ENG.exe”,來下載該工具。
在Symantec Package主界面中的“Import Products”面板中顯示導(dǎo)入的產(chǎn)品信息,可以看到,PcAnyWhere已經(jīng)自動(dòng)添加進(jìn)來了。在“Configure Products”面板 中 雙 擊“Symantec pcAnywhere”項(xiàng),在彈出窗口中的“Feathers”面板中提供了基本的安裝元素,包含了PcAnyWhere的各個(gè)功能選項(xiàng),允許您對(duì)其各項(xiàng)功能進(jìn)行取舍。一般來說,采用默認(rèn)設(shè)置即可。在“Configuration Files”面板中配置所需文件,在“Install Options”面板中設(shè)置安裝選項(xiàng)。如果您對(duì)PcAnyWhere非常熟悉,可以根據(jù)自己的需要定制以上各個(gè)選型。
圖2 創(chuàng)建自定義安裝包
例如選擇“Remote Files(*.CHF)”項(xiàng),可以添加后綴為“.chf”的文件,該文件是主控端連接被控端的配置文件。選 擇“Host Files(*.BHF)”項(xiàng),可以添加被控端主機(jī)配置文件等。對(duì)于一般用戶來說,不要隨意對(duì)其進(jìn)行更改。在“Configuration Files”面 板(如圖2所示)中選擇“Host Security IDs Files(*.SID)”項(xiàng),點(diǎn)擊“Add”按鈕,在上述路徑中選擇創(chuàng)建好的后綴為“.sid”文件的Serial ID文件,將其添加到本安裝包中。之后點(diǎn)擊“Build”按鈕,執(zhí)行定制版安裝PcAnyWhere的安裝包創(chuàng)建動(dòng)作,之后 得 到 名 為“Symantec pcAnywhere.msi”的安裝文件。之后在主機(jī)上卸載現(xiàn)有的 PcAnyWhere,并 安 裝 該定制版PcAnyWhere安裝包。并在所要操作的客戶端上安裝該定制安裝包,就可以利用Serial ID驗(yàn)證機(jī)制,安全連接PcAnyWhere被控端了。黑客即使破譯了連接密碼,因?yàn)闆]有該定制版PcAnyWhere安裝包,是無法連接PcAnyWhere主機(jī)的。
另外,對(duì)于使用終端服務(wù)的用戶來說,為了提高安全性,可以采取相應(yīng)的安全措施。例如,修改終端服務(wù)使用的端口,將其有3389修改為別的不常用的端口。這樣,當(dāng)黑客使用SuperScan等掃描器掃描3389端口時(shí),就可以避免輕易被其發(fā)現(xiàn)。為了避免別人隨意連接終端服務(wù),最好使用“net user”命令,創(chuàng)建專用的賬戶,并將其提升到管理員組中。之后在終端服務(wù)管理窗口中選擇RDP-Tcp連接項(xiàng),在其屬性窗口對(duì)權(quán)限進(jìn)行調(diào)整,刪除別的賬戶,只允許該賬戶連接終端服務(wù)。利用組策略,取消上次遠(yuǎn)程登錄時(shí)的賬戶名稱記錄信息,禁止顯示上次遠(yuǎn)程登錄的賬戶名等。最關(guān)鍵的是,連接密碼必須足夠強(qiáng)壯才行。例如,密碼長度要達(dá)到12位以上,內(nèi)容包括大小寫的字母,數(shù)字,特殊字符等。而且定期要更換密碼,加大黑客破解的難度。這樣,當(dāng)黑客使用Tscrack的工具暴力破解密碼時(shí),就無法輕易得逞。此外,利用IPSEC安全策略和防火墻,可以屏蔽非法IP,禁止其連接終端服務(wù)。這樣,即使黑客利用嗅探工具捕獲了密碼,也無法實(shí)施入侵。