小李是一家公司的网络管理员,为了便于工作,小李在公司的服务器上启动到终端服务,这样小李不管在任何地方,都可以对服务器进行远程操控。不过某天当小李远程登录到服务器之后,发现服务器的配置被修改得乱七八做,而且公司网站也遭到了篡改。在服务器中明显发现了黑客入侵的痕迹,看来肯定是黑客利用某些系统漏洞,破解了登录密码,使用终端服务轻松连接到服务器上,进入在系统中“胡作非为”的缘故。还好小李是危险漫步的粉丝没费什么力气,就将服务器恢复到正常状态。除了及时修复系统漏洞之外,如何保护终端服务的安全也是刻不容缓的事情。不过这难不倒小李,经过小李的一番精心配置,终端服务果然变得更加安全和坚固了。事实证明,之后依然有黑客试图通过终端服务入侵服务器,不过他们终究没有得逞,只能落得铩羽而归的下场。
一、为找个终端服务找个安全助手
在默认情况下,当使用者通过终端服务/远程桌面登录到本机后,在其使用的账户权限内,其行为几乎是不受约束的,可以对本机进行随心所欲的修改。这对本机的安全性很不好,会将您精心配置的系统搞得面目全非,轻则造成系统运行异常,重则引起病毒入侵让系统彻底损坏。因此,对使用者的操作行为进行必要约束,就显得很有必要了。使用终端服务安全助手这款小软件,就可以轻松实现上述要求。在终端服务安全助手主窗口左侧的“远程桌面用户”中预设了“默认配置”项,可以针对所有的连接本机的账户发挥作用。当然,您也可以创建新的账户,来设置相应的约束条件。在该列表底部点击“添加”按钮,在新用户窗口中输入用户的名称,描述信息,密码等信息,勾选“设置账户有效期”项,可以设置具体的日期范围,这样超过改时间范围后,该账户就无法正常登录本机了。点击“创建”按钮,完成该账户的创建操作。
在“远程桌面用户”列表中选择所需的账户,在“安全策略”面板中针对系统的常用安全属性,提供了大量的安全配置项目,勾选对应的项目,可以激活对应的约束条件。包括删除开始菜单中的运行菜单、禁止使用查找功能、禁止使用注册表编辑器、隐藏公共对话框的位置栏、禁止打开命令提示符、禁止访问Windows Update、删除网上邻居中的”整个网络”、禁止删除工具菜单中的文件夹选项、禁止修改密码删除映射/断开网络驱动器、隐藏桌面图标、禁止Active Desktop 禁止锁定计算机、阻止删除打印机、禁止使用任务管理器、阻止添加打印机、禁止使用右键菜单等。
在“IE策略”面板中针对IE浏览器常用的配置项目,提供了大量的限制条件。包括隐藏IE工具栏、禁止IE全屏显示F11键、隐藏IE搜索框、关闭IE开发工具F12键、隐藏”收藏夹”菜单、禁止IE下载程序或文件、隐藏IE菜单栏、禁止使用“Internet选项”、禁用“文件”菜单的打开、禁用IE右键菜单、禁用“文件”菜单的新建窗口、关闭弹出窗口阻止程序、禁止通过IE打印、禁用“查看”菜单、隐藏“帮助”菜单、隐藏命令栏、禁用“文件”菜单另存为、关闭首次运行自定义设置、禁用导入和导出等。
在“磁盘管理”面板中可以针对磁盘访问服务,设置所需的限制条件。在“磁盘访问控制”列表中列出了所有的磁盘盘符,您可以选择对应的盘符(例如D盘等),在其“隐藏磁盘”列中点击鼠标,可以激活或者取消该磁盘的隐藏功能。如果该磁盘处于隐藏状态,那么使用者就无法查看其中的文件。如果选择“禁止访问”项,那么使用者就彻底无法使用该磁盘了。按照同样的方法,您可以灵活的设置磁盘访问的权限。在“文件夹访问控制”栏中点击“添加”按钮,可以导入目标文件夹,这样当使用者连接本机后,就无法访问“文件夹访问控制”栏预设的文件夹了。
为了防止黑客浑水摸鱼,非法远程登录本机,对登录时间送行限制是很有必要的。在“登录管理”面板中勾选“启用登录限制”项,选择对应的星期数,在“起始时间”和“结束时间”栏目中设置时间范围,这样只有的规定的日期和时间内,才可以登录到本机上。例如针对黑客喜欢夜晚行动的特点,可以将夜晚的时间段排除在在外,这样就可以有效防止黑客的入侵。实际上,您可以根据自己实际工作需要,设置自己才知道的登陆时间范围(例如上午“9:00到10:00”),这样在不影响自己正常工作的前提下,可以最大限制降低本机遭入侵的风险。
为了防止使用者在本机上随意运行程序,可以在“应用管理”面板中勾选“只允许运行应用程序列表”项,点击“添加”按钮,导入所需的程序。按照同样的方法,可以导人其它允许运行的程序。这样使用者登录本机后,就只能运行您预设好的程序。此外,在“禁止运行应用程序列表”栏中点击“添加”按,导入禁止运行的程序,这样当使用者试图运行这些程序时,会得到无法运行的警告。
为了进一步提高终端服务/远程桌面的安全性,还需要对其本身的安全属性进行合理的配置。在“终端服务设置”面板中的“服务器设置”栏中可以修改终端服务/远程桌面的端口、限制每一个用户只能使用一个连接会话、当退出连接后可以自动删除临时文件夹、关闭默认的输入法映射等。在“数据重定向”栏中可以禁用打印机、驱动器、剪切板、COM端口,LPT端口等设备的重定向操作,避免使用者非法从本机获取机密信息。在“会话设置”栏中可以设置当连接会话断开1分钟后,可以将其结束,避免孔会话占用系统资源。还可以设置当连接中断时立即结束会话等选项。之后点击确定按钮,完成针对终端服务/远程桌面的属性配置操作。
二、为终端服务设置安全“过滤器”
SecureRDP的特点是可以终端服务/远程桌面添加高级过滤功能,包括IP地址、主机名称、MAC地址、客户端版本、连接时间等过滤项目。这样只有符合条件的客户机才可以使用本机的终端服务/远程桌面,来执行远程控制操作,将无关主机的非法连接拒之门外。这样黑客即使知道了本机的IP和登录密码,也无法侵入本机。在SecureRDP主窗口左侧“Logon Filters”工具列中点击“IP Address”按钮,在窗口右侧勾选“Enable IP Address Filter”项,激活IP地址过滤功能。点击“ADD”按钮,在地址添加窗口中的“Mode”列表中如果选择“Logon Disabled”项,表示添加禁止访问本机终端服务/远程桌面的客户机地址列表。如果选择选择“Logon Enabled”项,则情况恰恰相反,可以定制允许访问本机终端服务/远程桌面的地址列表。之后在“From”和“To”栏中输入lP地址范围。如果只是限制单个IP,只需将“To”编辑框置空即可。点击OK按钮,完成地址的添加操作。按照同样的方法,您可以添加任意多个所需的地址序列。点击“Remove”或者“Edit”按钮,可以对选定的地址序列执行删除或者编辑操作。
在“Logon Filters”工具列中点击“Computer Name”按钮,在窗口右侧勾选“Enable computer name Filter”项,激活客户机名称过滤功能,之后添加所需的客户机名称即可,注意的是客户端计算机名称过滤支持“*”号通配符(例如“*hack*”等),这样可以有效提高名称过滤的广度,只有符合该名称的计算机才允许登录,具体的操作与上述完全相同。
在“Logon Filters”工具列中点击“MAC address”按钮,在窗口右侧勾选“Enable MAC address Filter”项,激活客户机MAC地址过滤功能,点击“ADD”按钮,添加所需的MAC地址即可。
在“Logon Filters”工具列中点击“Client Version”按钮,在窗口右侧勾选“Enable Client Version Filter”项,激活客户端系统版本过滤功能。在窗口右侧列表中预设了不同的系统版本号可以提供选择,SecureRDP提供了允许、禁止、高于、低于版本范围等灵活的限制条件。例如选择其中的“0419”和“2087”版本号,点击“Allow range”项,那么客户机的系统版本号之后处于“0419”和“2087”之间,才可以访问本机的终端服务/远程桌面功能。查看系统版本号的方法很简单,运行“winver.exe”程序,在弹出窗口中就会将版本号显示出来。
即使对于符合过滤要求的客户机,虽然其通过终端服务/远程桌面可以对本机进行远程控制,我们仍然可以对其连接的时间进行约束。在“Logon Filters”工具列中点击“Time Restriction”按钮,在窗口右侧勾选“Enable Time Restrictions Filter”项,激活时间限制功能。如果勾选“All day”项,表示在任何时候都允许连接本机。如果选择“Between X and X”项,则可以设置具体的访问时间范围,同时可以勾选对应的星期数,这样只有在特定的日期,特定的时间范围内,才可以正常连接本机。如果勾选“Ignore administrators sessions”项,那么当具有管理员身份的用户连接本机时,可以避开上述时间限制。当然,以上几种过滤功能可以组合使用,这样可以大大提高防御的效率。
和其它远程控制软件不同,终端服务提供了多会话管理功能,允许同时都不多不同用户执行远程控制操作,而且他们彼此之间相互独立。SecureRDP可以针对终端服务的多会话功能,提供了更加有限的安全控制服务。也就是说,对于允许连接的IP地址,SecureRDP还可以进一步限制其允许连接的会话次数。在“Session Restrictions”工具列中点击“Sessions per IP”按钮,在右侧窗口中勾选“Enable Session per IP Filter”,激活针对目标IP的会话限制功能。点击“ADD按钮”,在弹出窗口中输入目标IP,设置针对该IP的允许连接的次数。这样,当客户端和服务器连接的次数超过指定会话次数后,将禁止连接。对于连接的账户名,SecureRDP也可以进一步限制其允许连接的会话次数,在“Session Restrictions”工具列中点击“Sessions per User”按钮,在窗口右侧勾选“Enable Sessions per User Filter”项,激活针对特定账户的会话限制功能。点击“ADD”按钮,输入目标账户名和允许该账户连接的次数。这两种连接会话限制功能可以与上述登录过滤组合使用,从而大大提高终端服务的安全性。
在窗口左侧打开“Tools”工具列,点击其中的“Servers Informations”按钮,可以对指定终端服务器活动情况进行监视,点击“Popup Messages”按钮,可以设定当客户端连接服务器时,触发SecureRDP预设限制条件时弹出的消息。点击“Logs”按钮,可以查看日志文件,选择异或条件等。点击“Filtering Logic”按钮,在右侧窗口中提供了“And”和“Or”两种异或条件,用来设定过滤条件之间的逻辑关系。在SecureRDP中设置完成后,点击菜单“File”→“Apply configuration”使设置内容生效,有了SecureRDP的强大的保护功能,黑客对终端服务/远程桌面就奈何不得了。