论文部分内容阅读
老刘是公司的网管员,为了便于工作,他在服务器上开启了远程桌面/终端服务。不管老刘走到哪里,都可以很方便地对网站进行远程维护。不过,当老刘近日登录服务器后,发现网站被搞得面目全非,数据库也遭到破坏。看来,除了及时修复系统漏洞之外,对远程桌面/终端服务进行全面保护是刻不容缓的事情。老刘经过一番研究,摸索出了一些行之有效的防护方法。事实证明,之后依然有黑客试图借此入侵服务器,不过他们终究没有得逞,只能落得碰壁而归的下场。
狙击暴力破解 封锁非法破译之门
为了非法获取远程桌面/终端服务连接密码,黑客常常会采用暴力破解的方式。所谓暴力破解,就是使用专门的黑客软件,通过预设的密码字典,对目标主机的远程桌面/终端服务进行连接测试,直到猜解出正确的密码为止,该方法对于密码较弱的主机是一个很大的威胁。如果使用的是Vista、Windows 7、Windows Server 2008等系统,可以依靠RdpGuard这款独特的安全软件,让暴力破解无功而返。
下载地址:http://rdpguard.com/download/rdpguard-1-2-1.exe
在RdpGuard主界面中按Ctrl+O键,在设置窗口General面板的Maxinum failed login attempts from a single IP address X栏中设置最大许可连接次数,默认为3次。也就是说,当黑客连续3次登录本机的远程桌面/终端服务失败后,RdpGuard将拒绝其连接本机。勾选unban automatically after the following period of time X栏设置解禁时间段,默认为24小时。当黑客遭到拦截后,必须经过预设的时间段后,才可以继续连接本机。如果你希望永久拦截,可以取消该项选择状态。当然,对于合法的IP地址,RdpGuard允许其不受限制地正常连接本机。
在RdpGuard主界面中点击菜单Tools→Whitelist项,在白名单管理窗口中点击Add按钮,在弹出窗口中的IP Address栏中输入合法的IP地址,可以是单个IP或者地址群,例如66.249.71.169、192.168.0.*等。在Comment栏中输入注释信息,点击Add new address按钮,将其添加到白名单中。在RdpGuard主界面中按Ctrl+Shift+S、Ctrl+Shift+Z、Ctrl+Shift+R键,可以分别执行启动、停止、重启其保护功能。注意,为了发挥RdpGuard的保护功能,必须启动本机的Windows防火墙服务。当激活RdpGuard保护功能后,如果有黑客试图对本机进行连接测试,RdpGuard即可对其进行拦截,同时在Blocked IPs列表中显示拦截的IP地址、时间和日期信息(图1)。
不是一家人 莫进一家门
为了防止黑客随意连接本机,最好的方法是对连接者的身份进行审核,这样就可以将非法来客拒之门外。使用SecureRDP这款软件,可以为终端服务/远程桌面添加高级过滤功能,包括IP地址、主机名称、MAC地址、客户端版本、连接时间等过滤项目。
下载地址:http://www.onlinedown.net/soft/18776.htm
在SecureRDP主窗口左侧Logon Filters工具列中点击IP Address按钮,在窗口右侧勾选Enable IP Address Filter项,激活IP地址过滤功能。点击ADD按钮,在弹出窗口中选择Logon Disabled项,添加禁止访问的IP地址。选择Logon Enabled项,则情况恰恰相反,可以定制允许访问的IP列表。之后在From和To栏中输入IP地址范围。如果只是限制单个IP,只需将To编辑框置空即可(图2)。
在Logon Filters工具列中点击Computer Name按钮,在窗口右侧勾选Enable computer name Filter项,激活客户机名称过滤功能,添加所需的客户机名称。注意,客户端计算机名称过滤支持*通配符(例如*hack*等),这样可以有效提高名称过滤的广度,只有符合该名称的计算机才允许连接本机。在Logon Filters工具列中点击Time Restriction按钮,在窗口右侧勾选Enable Time Restrictions Filter项,激活时间限制功能。
如果勾选All day项,表示在任何时候都允许连接本机。如果选择Between X and X项,则可以设置具体的访问时间范围,同时可以勾选对应的星期数,这样只有在特定的日期、特定的时间范围内,才可以正常连接本机。此外,该软件还提供了客户机MAC地址过滤、客户端系统版本过滤、客户端连接的会话限制等功能。
随叫随开 让远程桌面听从招呼
实际上,只要远程桌面/终端服务处于开启状态,就存在被黑的风险。其实,我们可以换一种策略,如果让远程桌面/终端服务听从招呼,根据我们的需要灵活启动或者关闭,不就可以大大提高安全性了吗?在Shutter这款免费软件的配合下,实现上述想法其实很简单。
下载地址:http://www.den4b.com/?x=get&product=shutter&type=installer
首先在目标服务器上运行Services.msc,在服务管理窗口中双击Terminal Services服务,在启动类型列表中选择“自动”项,让终端服务/远程桌面处于自动运行状态。接下来在某个位置(这里为C盘根目录)下创建startfuwu.bat和stopfuwu.bat两个批处理文件。
startfuwu.bat内容为:
echo Windows Registry Editor Version 5.00>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
regedit /s 3389.reg
del 3389.reg
stopfuwu.bat内容为:
echo Windows Registry Editor Version 5.00>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000001>>3389.reg
regedit /s 3389.reg
del 3389.reg
第一个批处理文件功能是打开终端服务/远程桌面服务,后一个功能是关闭其服务。将这两个批处理文件存放到系统文件夹中。在Shutter主窗口中点击Options按钮,在设置窗口的Web Interface面板中勾选Enable项,激活其远程控制服务功能。在Listen IP列表中选择本机的IP地址,在Listen Port栏中设置端口号(默认为80)。在Username栏中输入用户名称,在Password栏中输入连接密码。注意,必须勾选Allow command line execution(允许命令行操作)项,才可以发挥Shutter的威力!点击Save按钮,保存上述配置信息。本例中假设服务器IP为123.239.96.89,Shutter监听端口为7699。
当希望开启远程桌面/终端服务时,在任意电脑上打开浏览器,在地址栏中输入http:// 123.239.96.89:7699,如果采用80端口,则忽略端口号。在弹出的认证窗口中输入用户名和密码,点击确定按钮,进入Shutter远程控制页面。在页面底部的Run Program(运行程序)栏中输入startfuwu.bat命令,点击Run按钮,即可向目标主机发送开启终端服务/远程桌面服务指令,之后就可以正常登录了。当使用完毕后,在Run Program栏中输入stopfuwu.bat命令,点击Run按钮,可以立即关闭终端服务/远程桌面服务(图3)。
狙击暴力破解 封锁非法破译之门
为了非法获取远程桌面/终端服务连接密码,黑客常常会采用暴力破解的方式。所谓暴力破解,就是使用专门的黑客软件,通过预设的密码字典,对目标主机的远程桌面/终端服务进行连接测试,直到猜解出正确的密码为止,该方法对于密码较弱的主机是一个很大的威胁。如果使用的是Vista、Windows 7、Windows Server 2008等系统,可以依靠RdpGuard这款独特的安全软件,让暴力破解无功而返。
下载地址:http://rdpguard.com/download/rdpguard-1-2-1.exe
在RdpGuard主界面中按Ctrl+O键,在设置窗口General面板的Maxinum failed login attempts from a single IP address X栏中设置最大许可连接次数,默认为3次。也就是说,当黑客连续3次登录本机的远程桌面/终端服务失败后,RdpGuard将拒绝其连接本机。勾选unban automatically after the following period of time X栏设置解禁时间段,默认为24小时。当黑客遭到拦截后,必须经过预设的时间段后,才可以继续连接本机。如果你希望永久拦截,可以取消该项选择状态。当然,对于合法的IP地址,RdpGuard允许其不受限制地正常连接本机。
在RdpGuard主界面中点击菜单Tools→Whitelist项,在白名单管理窗口中点击Add按钮,在弹出窗口中的IP Address栏中输入合法的IP地址,可以是单个IP或者地址群,例如66.249.71.169、192.168.0.*等。在Comment栏中输入注释信息,点击Add new address按钮,将其添加到白名单中。在RdpGuard主界面中按Ctrl+Shift+S、Ctrl+Shift+Z、Ctrl+Shift+R键,可以分别执行启动、停止、重启其保护功能。注意,为了发挥RdpGuard的保护功能,必须启动本机的Windows防火墙服务。当激活RdpGuard保护功能后,如果有黑客试图对本机进行连接测试,RdpGuard即可对其进行拦截,同时在Blocked IPs列表中显示拦截的IP地址、时间和日期信息(图1)。
不是一家人 莫进一家门
为了防止黑客随意连接本机,最好的方法是对连接者的身份进行审核,这样就可以将非法来客拒之门外。使用SecureRDP这款软件,可以为终端服务/远程桌面添加高级过滤功能,包括IP地址、主机名称、MAC地址、客户端版本、连接时间等过滤项目。
下载地址:http://www.onlinedown.net/soft/18776.htm
在SecureRDP主窗口左侧Logon Filters工具列中点击IP Address按钮,在窗口右侧勾选Enable IP Address Filter项,激活IP地址过滤功能。点击ADD按钮,在弹出窗口中选择Logon Disabled项,添加禁止访问的IP地址。选择Logon Enabled项,则情况恰恰相反,可以定制允许访问的IP列表。之后在From和To栏中输入IP地址范围。如果只是限制单个IP,只需将To编辑框置空即可(图2)。
在Logon Filters工具列中点击Computer Name按钮,在窗口右侧勾选Enable computer name Filter项,激活客户机名称过滤功能,添加所需的客户机名称。注意,客户端计算机名称过滤支持*通配符(例如*hack*等),这样可以有效提高名称过滤的广度,只有符合该名称的计算机才允许连接本机。在Logon Filters工具列中点击Time Restriction按钮,在窗口右侧勾选Enable Time Restrictions Filter项,激活时间限制功能。
如果勾选All day项,表示在任何时候都允许连接本机。如果选择Between X and X项,则可以设置具体的访问时间范围,同时可以勾选对应的星期数,这样只有在特定的日期、特定的时间范围内,才可以正常连接本机。此外,该软件还提供了客户机MAC地址过滤、客户端系统版本过滤、客户端连接的会话限制等功能。
随叫随开 让远程桌面听从招呼
实际上,只要远程桌面/终端服务处于开启状态,就存在被黑的风险。其实,我们可以换一种策略,如果让远程桌面/终端服务听从招呼,根据我们的需要灵活启动或者关闭,不就可以大大提高安全性了吗?在Shutter这款免费软件的配合下,实现上述想法其实很简单。
下载地址:http://www.den4b.com/?x=get&product=shutter&type=installer
首先在目标服务器上运行Services.msc,在服务管理窗口中双击Terminal Services服务,在启动类型列表中选择“自动”项,让终端服务/远程桌面处于自动运行状态。接下来在某个位置(这里为C盘根目录)下创建startfuwu.bat和stopfuwu.bat两个批处理文件。
startfuwu.bat内容为:
echo Windows Registry Editor Version 5.00>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
regedit /s 3389.reg
del 3389.reg
stopfuwu.bat内容为:
echo Windows Registry Editor Version 5.00>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000001>>3389.reg
regedit /s 3389.reg
del 3389.reg
第一个批处理文件功能是打开终端服务/远程桌面服务,后一个功能是关闭其服务。将这两个批处理文件存放到系统文件夹中。在Shutter主窗口中点击Options按钮,在设置窗口的Web Interface面板中勾选Enable项,激活其远程控制服务功能。在Listen IP列表中选择本机的IP地址,在Listen Port栏中设置端口号(默认为80)。在Username栏中输入用户名称,在Password栏中输入连接密码。注意,必须勾选Allow command line execution(允许命令行操作)项,才可以发挥Shutter的威力!点击Save按钮,保存上述配置信息。本例中假设服务器IP为123.239.96.89,Shutter监听端口为7699。
当希望开启远程桌面/终端服务时,在任意电脑上打开浏览器,在地址栏中输入http:// 123.239.96.89:7699,如果采用80端口,则忽略端口号。在弹出的认证窗口中输入用户名和密码,点击确定按钮,进入Shutter远程控制页面。在页面底部的Run Program(运行程序)栏中输入startfuwu.bat命令,点击Run按钮,即可向目标主机发送开启终端服务/远程桌面服务指令,之后就可以正常登录了。当使用完毕后,在Run Program栏中输入stopfuwu.bat命令,点击Run按钮,可以立即关闭终端服务/远程桌面服务(图3)。