遠程終端服務是微軟Windows Server系列中的一大特色，由于其簡潔、維護及使用方便等特點深受廣大用戶及其黑客的喜愛，而遠程終端服務往往運行在一些有重要程序的服務器上;如果由于遠程終端服務的配置和管理不當，往往會帶來巨大的經濟損失。

　　一、 遠程終端服務技術介紹

　　Windows 2003 Server中的Windows Terminal Services(WTS)又稱為遠程終端服務(Remote Terminal Services)或者俗稱為3389，是在Windows NT中最先使用的一種終端，在Windows 20030 Professional版本中不可以安裝，在 Windows 2003 Server或以上版本才可以安裝這個服務，其默認服務端口為3389，在Windows XP系統(tǒng)中稱為“遠程桌面(Remote Desktop)”。

　　遠程終端服務是Windows 2003 Server中的一項重要服務，主要通過遠程桌面連接來對服務器進行管理或者運行應用程序，其功能類似于遠程管理軟件，由于遠程終端服務使用簡單、方便，不產生交互式登陸，而且可以在后臺操作，因此在各行各業(yè)都有大量的應用，深受用戶喜愛。

　　遠程終端服務在很多大型系統(tǒng)中使用得越來越廣泛，正是由于遠程終端服務在Windows Server 2000以及Windows 2003 Server中開啟非常簡單方便，一般情況都不需要重新安裝，只需要運行幾行DOS命令即可開啟，且由于使用終端不受IP地址的限制，只要擁有用戶賬號及其對應的用戶口令，就可以正常登錄，因此對Windows 2000 Server來講遠程使用終端服務即開啟了方便之門，也開啟了網絡安全的安全隱患之門，而且目前還有針對Windows 2000 Server及其以上版本的遠程終端服務攻擊的軟件，一旦攻擊成功，對于運行重要程序的服務器將會帶來不可估量的經濟損失，下面對遠程終端服務以及相關安全技術進行分析。

二、 遠程終端開啟技術

　　1. 遠程終端服務開啟步驟

　　在Windows 2000 Server中，有許多開啟遠程終端服務方法，歸納起來對于遠程終端的開啟主要通過以下步驟來進行：

　　(1) 查看“Terminal Services”是否開啟?？梢酝ㄟ^服務器中的“服務管理”以及通過DOS命令下的“net start”來查看。如果在服務管理器中“Terminal Services”的狀態(tài)為“啟動”，則表示“Terminal Services”開啟成功;而在DOS命令下使用“net start”的結果中如果出現了“Terminal Services”則表示開啟了遠程終端服務。

　　(2)啟動Windows Terminal Services服務。

　　(2) 使用“遠程桌面連接”(RDP)連接遠程終端，如果使用RDP連接遠程終端成功，則表示遠程終端服務開啟成功。

　　2. 一些常見開啟遠程終端服務的方法

　　(1)使用rots.vbs腳本

　　Rots.vbs是由網名為“灰色軌跡zzzevazzz”寫的一個VBS腳本，該腳本通過系統(tǒng)中自帶的cscript.exe應用程序來執(zhí)行，使用該腳本可以開啟終端服務以及修改終端服務端口，其使用格式為：


　　
Quote:
cscript.exe rots.vbs ip user userpass port /r或cscript.exe rots.vbs ip user userpass port /fr


　　(2)使用bat命令

　　通過記事本建立一個bat文件，在其中分別輸入以下內容：


　　
Quote:
echo [Components] > c:\sql 
　　echo TSEnable = on >>sql 
　　c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q


　　然后運行該批處理命令，重新啟動計算機后，遠程終端服務開啟成功，該方法不能更改終端服務的端口。

　　(3)導入一個reg文件到需要開啟終端服務的機器中

　　該方法主要是修改遠程終端服務的端口及其相關設置，通過生成一個以reg為后綴的文件，將該文件導入到需要開啟終端服務的計算機上。該方法比較隱蔽，通過服務管理器以及“net start”命令均不會發(fā)現終端服務已經啟動。Reg文件內容如下：


　　
Quote:
Windows Registry Editor Version 5.00 
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] 
　　"Enabled"="0" 
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
　　"ShutdownWithoutLogon"="0" 
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] 
　　"EnableAdminTSRemote"=dword:00000001 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] 
　　"TSEnabled"=dword:00000001 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] 
　　"Start"=dword:00000002 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] 
　　"Start"=dword:00000002 
　　[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] 
　　"Hotkey"="1" 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 
　　"PortNumber"=dword:00000D3D 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
　　"PortNumber"=dword:00000D3D 


　　(4)使用SQL注入軟件啟動3389服務

　　在Domain3.5以及網名為教主的HDSI2.0 SQL等注入工具中均提供了開啟3389終端服務功能，使用該類軟件來開啟3389的前提條件是運行Web服務的服務器必須存在SQL注入漏洞，而且數據庫用戶的權限較大，在SQL Server 2000中數據庫用戶必須為sa。

　　(5)使用其它軟件開啟3389

　　在網上其它一些流行軟件其開啟原理跟前面類似，只是使用不同的編程語言進行實現。


三、 遠程終端攻擊技術

　　遠程終端攻擊中的技術跟常規(guī)的攻擊技術相同，其中有一款單獨針對遠程終端服務攻擊的軟件(Terminal Services Cracker)，其原理就是利用攻擊字典進行自動嘗試，如果遠程終端服務器中允許登陸的口令在攻擊字典中，在理論上攻擊是成功的。

　　四、 遠程終端服務安全設置及其防范對策

　　在網絡安全中，只有相對的主動安全，沒有絕對的安全，本文主要針對Windows中的遠程終端服務的安全進行討論，對于與遠程終端服務安全無關的內容在此不進行贅述，對于提供遠程終端服務的計算機來說，可以參考以下安全設置，并根據實際情況進行相應調整。

　　1.及時更新系統(tǒng)安全補丁。

　　對于安裝遠程終端服務的計算機，在新漏洞出現，尤其是在遠程提升權限漏洞方面最容易出現安全問題，極易受到攻擊，因此除了系統(tǒng)安裝完成后，立即更新系統(tǒng)目前所有漏洞的補丁外，還建議啟動系統(tǒng)的自動更新功能。一旦出現新漏洞的補丁程序，立即進行更新，在安全更新后需要對系統(tǒng)做一次徹底的安全檢查，以確保系統(tǒng)安全。

　　2.嚴格安全日志檢查和遠程終端服務登錄日志檢查

　　系統(tǒng)中應當建立3389登陸日記記錄，并定期嚴格檢查系統(tǒng)安全日志和遠程終端登錄日志。

　　3.遠程終端服務應用程序共享安全規(guī)則

　　(1)一個應用程序對應一臺遠程終端服務器。

　　(2)不要允許遠程控制，只允許執(zhí)行應用程序，最好是只執(zhí)行一個應用程序。

　　(3)當多個服務器使用遠程終端服務器來提供應用程序共享時，可將所有的遠程終端服務器放入一個單一的OU來應用安全策略。

　　4.使用第三方遠程終端安全管理軟件2XSecureRDP

　　2XSecureRDP是由歐洲的2X公司開發(fā)的一種免費遠程終端連接安全管理工具軟件，該軟件可以有效地保護遠程用戶，可以根據情況來選擇以何種方式對RDP進行檢驗，比如按照IP設置、客戶端名稱、日期時間或者企業(yè)所選擇的其它標準來進行檢驗。該軟件只允許符合過濾條件的用戶進行登錄，能夠很好的保護運行有終端服務的計算機的安全。

　　5.自動記錄遠程終端登錄日志

　　由于運行遠程終端服務的計算機無法對IP地址進行限制，從管理的角度需要進行日志記錄，方法是建立一個名稱為TSLog.bat文件，用來記錄登錄者的ip等相關信息[3]，腳本內容如下：


Quote:

　　time /t>>TSLog.log 
　　netstat -n -p tcp |find ":3389">>TSLog.log 
　　start Explorer 


　　在終端服務配置中，需要覆蓋用戶的登陸腳本設置并指定為用戶登錄時需要打開的腳本文件TSLog.bat，以使每個用戶登錄后都必須執(zhí)行該腳本文件。

　　6.推薦的遠程終端服務器設置

　　7.使用應用程序安全工具來限制應用程序訪問[6]

　　可以安裝“Windows 2000 Server Resource Kit”中“計算機管理工具”，然后運行該工具中“應用安全”來嚴格限制應用程序的訪問。

　　五、結束語

　　本文對安裝有遠程終端服務的計算機的安全問題進行分析討論，對開啟遠程終端服務及其攻擊遠程終端服務器的各種技術進行了分析，最后提出了針對遠程終端服務的安全解決方法和一些可供參考的安全推薦設置，對提供遠程終端服務的計算機用戶具有一定參考價值。

最新評論