论文部分内容阅读
远程桌面/终端服务是最常用的远控工具,在实际网络管理中应用很广泛。俗话说树大招风。正因为如此,远程桌面/终端服务也成了黑客觊觎的对象。一旦让其得逞,对系统的危害是极大的。为了避免黑客入侵,一方面我们需要及时为系统打上各种补丁,设置复杂的登录密码,而且要定时变更密码。这样黑客破译不了密码,自然也就无法侵入系统。另外一方面是尽可能的为远程桌面/终端服务设置各种安全保护措施,对远程登录者的操作权限进行必要的限制,让黑客即使费尽心机登录进来,也无法对系统造成实质性的危害。这里就从多个方面解析相关安全软件的用法,帮助您更好地保护远程桌面/终端服务的安全。
一、巧设权限,让管理员账户掌控特权桌面
当黑客使用扫描工具探测到目标主机开启了远程桌面/终端服务后,就会通过各种手段进行渗透,当其入侵得手后一般会创建非法账户,然后使用该账户登录远程桌面/终端服务,完成各种破坏操作后扫除痕迹信息,然后逃遁而去。不管黑客如何狡猾,其登录之后必然和桌面打交道,否则其无法对系统进行有效控制。从这个角度出发,如果我们为Administrator账户设置复杂的密码让黑客无法破译,同时只允许Administrator拥有桌面控制特权,让其它任何账户都无法使用桌面的话,就算黑客入侵系统后,也会因为无法操作桌面而对系统无可奈何。
我们知道,桌面掌管者其实就是系统路径中的“explorer.exe”程序。我们首先为Administrator设置一个尽可能复杂的密码,之后打开C:\Windows”文件夹,在“explorer.exe”的右键菜单中点击“属性”项,在弹出窗口的“安全”面板(如图1)中点击“删除”按钮,删除“组或用户名称”栏中的所有组和账户。如果有些账户不能删除,可以点击“高级”按钮,在弹出窗口中的“权限”面板中取消“从父项继承那些可以应用到自对象的权限项目”,在弹出对话框中点击“删除”按钮,就可以清除所有的账户。之后点击“添加”按钮,在“选择用户或组”窗口中点击“高级”按钮,接着点击“查找”按钮,在结果列表中导入Administrator账户,注意不是Administrator组。选中添加的Administrator账户,在权限列表中只勾选“读取”和“运行”项。
完成以上操作后,还无法实现封锁非Administrator账户登录对桌面的使用权。因比,还需要使用Process Explorer这款小工具出手相助。在Process Explorer左侧选择“explorer.exe”进程,在其右键菜单中点击“propPrties”项,在属性窗口的“Security”面板中点击“Permissions”按钮,在权限窗口(如图2)中可以看到,所有预设账户都拥有对该进程的“Full Control”(完全控制)权限。原来,“Explorer.exe”实际上具有两种状态,存储在硬盘上时的静态和调入内存运行时的动态。上面谈到的权限设置实际上针对静态时的“Explorer.exe”发挥作用,当该程序运行后,其受制动态权限的控制,其权限是由Token访问令牌管控,其原理较为复杂,这里不进行讨论,感兴趣的朋友可以上网查阅相关资料。这里谈谈如何更改运行权限。
在上述“Process Explorer”权限窗口中取消所有账户针对“explorer.exe”的控制权,只保留Administrator账户拥有“Read”(读取)权限。经过这样一番设置后,您就会发现,当使用非Administrator账户登录终端服务/远程桌面时,系统会弹出登录失败的提示,只有使用Administrtator账户,才可以顺利进入桌面环境。实际上,经过对动态权限的限制,还可以避免恶意程序对“Explorer.exe”进程的注入操作,避免其成为DLL木马的藏身地。
二、为远程桌面/终端服务请个安全助手
在默认情况下,当使用者通过终端服务/远程桌面登录到本机后,在其使用的账户权限内,其行为几乎是不受约束的,可以对本机进行随心所欲的修改。这对本机的安全性威胁很大,会将您精心配置的系统搞得面目全非,轻则造成系统运行异常,重则引起病毒入侵让系统彻底损坏。因此,对使用者的操作行为进行必要约束,就显得很有必要。使用终端服务安全助手这款小软件,就可以轻松实现上述要求。在终端服务安全助手主窗口左侧的“远程桌面用户”中预设了“缺省设置”项,可以针对所有的连接本机的账户发挥作用。当然,您也可以创建新的账户,来设置相应的约束条件。在该列表底部点击“添加”按钮,在新用户窗口(如图3)中输入用户的名称、描述信息、密码等信息,勾选“设置账户有效期”项,可以设置具体的日期范围,这样超过改时间范围后,该账户就无法正常登录本机了。点击“创建”按钮,完成该账户的创建操作。
在“远程桌面用户”列表中选择所需的账户,在“安全策略”面板(图3)中针对系统的常用安全属性,提供了大量的安全配置项目,勾选对应的项目,可以激活对应的约束条件。包括删除开始菜单中的运行菜单、禁止使用查找功能、禁止使用注册表编辑器、隐藏公共对话框的位置栏、禁止打开命令提示符、禁止访问Windows Update、删除网上邻居中的“整个网络”、禁止删除工具菜单中的文件夹选项、禁止修改密码删除映射/断开网络驱动器、隐藏桌面图标、禁止Active Desktop、禁止锁定计算机、阻止删除打印机、禁止使用任务管理器、阻止添加打印机、禁止使用右键菜单等。
在“IE策略”面板(如图4)中针对IE浏览器常用的配置项目,提供了大量的限制条件。包括隐藏IE工具栏、禁止IE全屏显示F11键、隐藏IE搜索框、关闭IE开发工具F12键、隐藏“收藏夹”菜单、禁止IE下载程序或文件、隐藏IE菜单栏、禁止使用“Internet选项”、禁用“文件”菜单的打开、禁用IE右键菜单、禁用“文件”菜单的新建窗口、关闭弹出窗口阻止程序、禁止通过IE打印、禁用“查看”菜单、隐藏“帮助”菜单、隐藏命令栏、禁用“文件”菜单“另存为”、关闭首次运行自定义设置、禁用导入和导出等。 在“磁盘管理”面板中可以针对磁盘访问服务,设置所需的限制条件。在“磁盘访问控制”列表中列出了所有的磁盘盘符,您可以选择对应的盘符(例如D盘等),在其“隐藏磁盘”列中点击鼠标,可以激活或者取消该磁盘的隐藏功能。如果该磁盘处于隐藏状态,那么使用者就无法查看其中的文件。如果选择“禁止访问”项,那么使用者就彻底无法使用该磁盘了。按照同样的方法,您可以灵活地设置磁盘访问的权限。在“文件夹访问控制”栏中点击“添加”按钮,可以导入目标文件夹,这样当使用者连接本机后,就无法访问“文件夹访问控制”栏预设的文件夹了。为了防止黑客非法操作“我的文档”或者桌面上的文件,可以在“文件夹重定向”面板中分别设置“我的文档”和桌面文件夹的重定向路径,这样黑客就无法访问真实的“我的文档”或者对桌面进行破坏了。
为了防止黑客浑水摸鱼,非法远程登录本机,对登录时间进行限制是很有必要的。在“登录管理”面板(如图5)中勾选“启用登录限制”项,选择对应的星期数,在“起始时间”和“结束时间”栏目中设置时问范围,这样只有在规定的日期和时间内,才可以登录到本机上。例如针对黑客喜欢夜晚行动的特点,可以将夜晚的时间段排除在外,这样就可以有效防止黑客的入侵。实际上,您可以根据自己实际工作需要,设置自己才知道的登陆时间范围(例如上午“9:00到10:00”),这样在不影响自己正常工作的前提下,可以最大限度降低本机遭入侵的风险。为了防止使用者在本机上随意运行程序,可以在“应用管理”面板中勾选“只允许运行应用程序列表”项,点击“添加”按钮,导入所需的程序。按照同样的方法,可以导入其它允许运行的程序,这样使用者登录本机后,就只能运行您预没好的程序。此外,在“禁止运行应用程序列表”栏巾点击“添加”按钮,导入禁止运行的程序,这样当使用者试图运行这些程序时,会得到无法运行的警告。
为了进一步提高终端服务/远程桌面的安全性,还需要对其本身的安全属性进行合理的配置。在“终端服务设置”面板(如图6)中的“服务器设置”栏中可以修改终端服务/远程桌面的端口、限制每一个用户只能使用一个连接会话、当退出连接后可以自动删除临时文件夹、关闭默认的输入法映射等。在“数据重定向”栏中可以禁用打印机、驱动器、剪切板、COM端口、LPT端口等设备的重定向操作,避免使用者非法从本机获取机密信息。在“会话设置”栏中可以设置当连接会话断开1分钟后将其结束,避免空会话占用系统资源。之后点击确定按钮,完成针对终端服务/远程桌面的属性配置操作。下载地址:http://www.onlinedown.net/soft/110333.htm。
三、设詈过滤器,防止非法网络连接
SecureRDP是管理员的得力工具,可以杜绝非授权用户登录终端服务,让您的服务器远离“肉鸡”之列。SecureRDP的特点是可以为终端服务/远程桌面添加高级过滤功能,包括lP地址、主机名称、MAC地址、客户端版本、连接时间等过滤项目。这样只有符合条件的客户机才可以使用本机的终端服务/远程桌面,来执行远程控制操作,将无关主机的非法连接拒之门外。这样黑客即使知道了本机的lP和登录密码,也无法侵入本机。下载地址:http://www.onlinedwn.net/soft/18776.htm。
在SecureRDP主窗口左侧“Logon Filters”工具列中点击“IP Address”按钮,在窗口右侧勾选“EnableIP Address Filter”项,激活lP地址过滤功能点击“ADD”按钮,在地址添加窗口中的“Mode”列表中选择“Logon Disabled”项,表示添加禁止访问本机终端服务/远程桌面的客户机地址列表如果选择“Logon Enabled”项,则情况恰恰相反,可以定制允许访问本机终端服务/远程桌面的地址列表。之后在“From”和“To”栏中输入IP地址范围。如果只是限制单个IP,只需将“To”编辑框置空即可。点击OK按钮,完成地址的添加操作。按照同样的方法,您可以添加任意多个所需的地址序列。点击“Remove”或者“Edit”按钮,可以对选定的地址序列执行删除或者编辑操作。
在“Logon Filters”工具列中点击“ComputerName”按钮,在窗口右侧(如图7)勾选“Enablecomputer name Filter”项,激活客户机名称过滤功能,之后添加所需的客户机名称即可,注意的是客户端计算机名称过滤支持“*”通配符(例如“*hack*”等),这样可以有效提高名称过滤的广度,只有符合该名称的计算机才允许登录,具体的操作与上述完全相同。在“Logon Filters”工具列中点击“MAC address”按钮,在窗口右侧勾选“Enable MAC address Filter”项,激活客户机MAC地址过滤功能,点击“ADD”按钮,添加所需的MAC地址即可(如图8)。在“LogonFilters”工具列中点击“Client Version”按钮,在窗口右侧(如图9)勾选“Enable Client Version Filter”项,激活客户端系统版本过滤功能。在窗口右侧列表中预设了不同的系统版本号可供选择,SecureRDP提供了允许、禁止、高于、低于版本范围等灵活的限制条件。例如选择其中的“0419”和“2087”版本号,点击“Allow range”项,那么客户机的系统版本号之后处于“0419”和“2087”之间,才可以访问本机的终端服务/远程桌面功能。查看系统版本号的方法很简单,运行“winver.exe”程序,在弹出窗口中就会将版本号显示出来。
即使对于符合过滤要求的客户机,虽然其通过终端服务/远程桌面可以对本机进行远程控制,我们仍然可以对其连接的时间进行约束。在“LogonFilters”工具列中点击“Time Restriction”按钮,在窗口右侧勾选“Enable Time Restrictions Filter”项,激活时间限制功能(如图10)。如果勾选“All day”项,表示在任何时候都允许连接本机。如果选择“BetweenX and X”项,则可以设置具体的访问时间范围,同时可以勾选对应的星期数,这样只有在特定的日期、特定的时间范围内,才可以正常连接本机。如果勾选“Ignore administrators sessions”项,那么当具有管理员身份的用户连接本机时,可以避开上述时间限制。当然,以上几种过滤功能可以组合使用,这样可以大大提高防御的效率。 和其它远程控制软件不同,终端服务提供了多会话管理功能,同时允许不同用户执行远程控制操作,而且他们彼此之间相互独立。SeCureRDP可以针对终端服务的多会话功能,提供更加有限的安全控制服务。也就是说,对于允许连接的lP地址,SecureRDP还可以进一步限制其允许连接的会话次数。在“Session Restrictions”工具列中点击“Sessionsper lP”按钮,在右侧窗口中勾选“Enable Session perlP Filter”,激活针对目标IP的会话限制功能。点击“ADD按钮”,在弹出窗口中输入目标IP,设置针对该IP的允许连接的次数。这样,当客户端和服务器连接的次数超过指定会话次数后,将禁止连接。对于连接的账户名,SecureRDP也可以进一步限制其允许连接的会话次数,在“Session Restrictions”工具列中点击“Sessions per User”按钮,在窗口右侧勾选“EnableSessions per User Filter”项,激活针对特定账户的会话限制功能。点击“ADD”按钮,输入目标账户名和允许该账户连接的次数。这两种连接会话限制功能可以与上述登录过滤组合使用,从而大大提高终端服务的安全性。
在窗口左侧打开“Tools”工具列,点击其中的“Servers Informations”按钮,可以对指定终端服务器活动情况进行监视,点击“Popup Messages”按钮,可以设定当客户端连接服务器时,触发SecureRDP预设限制条件时弹出的消息。点击“Logs”按钮,可以查看日志文件、选择异或条件等。点击“FilteringLogic”按钮,在右侧窗口中提供了“And”和“Or”两种异或条件,用来设定过滤条件之间的逻辑关系。在SecureR DP中设置完成后,点击菜单“File”→“Applyconfiguration”使设置内容生效,有了SecureRDP的强大的保护功能,黑客对终端服务/远程桌面就奈何不得了。
四、让远程桌面/终端服务穿上“防护衣”
同以上软件相比,CybSecureTS的功能更加强大,可以对远程桌面/终端服务执行更加全面更加严格的管理。其支持Windows XP/2000/2003/2008/Vista/7等系统。当初次使用CybSecureTS时,在自动弹出的登录窗口中输入密码(默认为“Password”),点击“Login”按钮,进入CybSecureTS主控界面(如图11)。CybSecureTS采用两种不同的账户控制模式,其一是所有账户模式,也就是说不管任何账户登录到终端服务器上,都使用相同配置的安全过滤规则,这是默认的账户控制模式。另外一个是独立账户控制模式,CybSecureTS允许为不同的账户配置各自的安全过滤规则,这样当不同的账户登录到终端服务器上之后,会使用属于各自的安全过滤规则。点击菜单“Tools→General Options”项,在设置窗口左侧点击“Mode”项,在右侧窗口选择“All User Mode”项,激活所有账户模式。选择“Individual User Mode"项,激活独立账户控制模式。在窗口左侧点击“Password”项,在右侧窗口中可以更改CybSecureTS登录密码。
为简单起见,以所有账户模式为例进行分析。在CybSecureTS主窗口中的“Internet Filterig&Bloking”栏中双击“WebSite Filter”项,进入网址过滤规则设置窗口(如图12)。在其中的“Select URL List”列表中选择“Black List’项,激活黑名单模式。在“Enter Url”栏中输入目标网址,点击“Add”按钮,将其添加到黑名单列表中。按照同样的方法,可以添加任意多个网址到黑名单列表中。当用户登录到终端服务器后,是无法访问黑名单中的网址的。在“SelPct URL List”列表中选择“White List”项,激活白名单模式,白名单和黑名单是相反的,当用户登录到终端服务器后,是可以正常访问白名单中的网址的,网址白名单的添加方式与黑名单完全相同。
在上述“Internet Filterig&Bloking”栏中双击“File Filter”项,进入文件过滤规则设置窗口。在“Enter File Extension”栏中输入禁用的文件扩展名,您可以输入多个扩展名,彼此之间以逗号分隔。当用户登录到终端服务器上后,当试图访问或者下载禁用列表中的文件时,CybSecureTS可以对其进行阻止。例如您想在终端服务器上禁用BT下载,可以输入“.torrent”扩展名,点击“Add”按钮,将其添加到文件过滤列表中。这样当用户登录到终端服务器后,当试图打开BT种子,执行下载操作时,会遭到CybSecureTS的拦截。例如当您想禁用视频下载时,可以输入“.mpg,.mpeg,.avi,.flv,.mov,.wmv,.rmvb,.rm”等视频文件扩展名,这样当用户在终端服务器中试图下载符合规则的视频文件时,CyhSecureTS会立即对其进行彻底拦截。
网络通讯之所以可以顺利进行,离不开各种网络端口。对于网管员来说,有时很希望对终端服务器的端口使用情况进行有效控制。在上述“InternetFilterig&Bloking”栏中双击“Port Filter”项,在端口过滤规则窗口中的“Select Filter Type”列表中选择“Port Filter”项,激活端口白名单功能。在“PortFilter”栏中选择端口过滤类型、对应的网络协议(包括HTTP、FTP、SMTP、HTTPS、POP3、NEWS等)以及端口号,点击“Add”按钮,将其添加到端口白名单中。当用户登录到终端服务器后,可以正常访问端口白名单中的端口。在“Select Filter Type”列表中选择“Port Blocking”项,可以激活端口黑名单功能,在“Port Blocking”栏中第一个列表中选择禁用类型,包括“Block Completely”(全部禁用)、“BlockIncoming”(禁止接收数据)、“Blocking Outgoing”(禁止发送数据)等,在第二个列表中选择协议类型。除了常规的网络协议外,还可以选择“MSNMessenger”“Google Talk”“Yahoo Messenger”等项,来禁用上述聊天软件。在第三栏中输入具体的网络端口,点击“Add”按钮,添加禁用的端口即可。 如果您不想让登录者随意在终端服务器上使用Outlook、Foxmail等软件收发邮件,该怎么办呢?在上述“Internet Filterig&Bloking”栏中双击“Email Filter”项,在邮件过滤规则窗口(如图13)中的“Select EmailFilter”列表中选择“SMTP Filter”项,表示对邮件的发送进行拦截。在“SMTP Filter”栏中输入目标邮箱地址(例如“[email protected]”等),点击“Add”按钮,将其添加到拦截列表中,这样当登录者试图从列表中的邮箱发送邮件时,会遭到CybSecureTS的拦截。在“Select Email Filter”列表中选择“POP3 Filter”项,表示对邮件的接收进行控制。在“POP3 Filter”栏中输入目标邮箱地址,点击“Add”按钮,将其添加到拦截列表中。这样,当登录者试图从预设邮箱中接收邮件时,是无法正常进行的。按照以上方法,您可以按照拦截的方向,添加多个邮箱地址到禁用列表中。
CybSecureTS除了可以对以上网络项目进行安全管理,还可以对登录者的上网行为进行全面控制。在上述“Internet Filterig&Bloking”栏中双击“Internet Scheduler”项,在弹出窗口(如图14)中的“Internet Mode”栏中选择“Turn internet ON”项,表示允许登录者访问Internet。如果选择“Turn InternetOFF”项,表示始终禁止登录者访问Internet。如果选择“Enable Internet Scheduler”项,表示只允许登录者在预设的时间段内访问Internet。在“InternetScheduler”栏中的“Scheduler”列表中选择计划周期,包括每天、每星期、每月等。在“From”和“To”栏中设置时间间隔。点击“Add”按钮,将其添加到计划周期列表中。您可以同时添加任意多个时间段,在这些时间段内可以正常访问Internet。注意,以上所有访问规则发生效力的前提是必须遵守已经创建的所有安全过滤规则。
当登录者试图访问网址黑名单中的网站时,CybSecureTS允许您为其设置必要的警告规则。在上述“Internet Filterig&Bloking”栏中双击“InternetSettings”项,在弹出窗口(如图15)中的“ShowBlocked Message in”列表中如果选择“DO not showany messages(block silently)”项,表示当登录者访问禁用的网址时,CybSecureTS直接进行拦截而不弹出任何警告信息。如果选择“Browser Windows”项,表示可以弹出警告窗口,在“Blocked Internet Nessage”栏巾可以输入警告的内容。如果选择“Message Box”项,可以弹出警告对话框。如果选择“Redirect URL”项,表示执行网址重定位操作。在“Redirect Url”栏中输入目标网址,这样当登录者试图访问禁用网址时,会自动导向到预设网址。此外,可以在“Enter EXEname”栏中选择目标程序,点击“Add”按钮,将其添加到可用程序列表中,当登录者试图访问禁用网址时,会自动启动预设程序。
当用户登录到终端服务器后,必然会操作各种程序和文件,对这些对象进行必要的安全控制,对于终端服务器的安全,是很有必要的。在“ApplicationBlocking”栏中双击“Application Blocker”项,在弹出窗口中的“Enter EXE Name”栏中点击浏览按钮,选择目标程序,将其添加到禁用列表中。注意CybSecurerrs添加的不是程序的名称,而是程序的产品名称。例如选择QQ,添加的是“QQ2011”。在Windows中打开目标程序属性窗口,在“版本”页面中的“产品名称”栏中显示是程序的真实名称。这样做的好处是即使登录者改变了目标程序的显示名称,也无法摆脱CybSecureTS的限制。按照上述方法,您可以添加任意多个程序到禁用列表中。
在“Application Blocking”栏中双击“WindowsBlocker”项,在弹出窗口中可以设置窗口过滤规则。在“Enter Window Title”栏中输入目标窗口的标题(可以是窗口标题部分内容,例如“Word”等,CybSecureTS支持模糊查询功能),这样当登录者启动的窗口标题栏中包含禁用的内容后,CybSecurerTS可以立即将其关闭。按照同样的方法,您可以添加任意多个窗口标题。
当您针对程序和窗口预设了大量的禁用规则后,CybSecureTS还允许您设置特定的时间段,来允许登录者操作禁用的程序或者窗口,这样可以提高安全管理的柔韧度。在“Application Blocking”栏巾双击“AppliCation Scheduler”项,在弹出窗口中设置汁划周期和时间间隔,之后将其添加到计划列表中即可,具体操作与上述基本相同。注意,您必须在窗口底部勾选“Enable Application Scehduler”项,才可以激活上述计划访问机制。当登录者触发以上程序和窗口安全过滤规则时,CybSecureTS允许您白定义警告方式。在“Application Blocking”栏中双击“ApplicationSettings”项,在弹出窗口中选择具体的警告规则即可,包括弹出警告对话框,静默阻止等。具体的设置方法与上述设置方法完全相同。
当配置好安全规则后,点击菜单“File→RegisterAll Filters”项,完成安全规则的注册操作,之后安全规则才可以生效。当然,上述安全规则的设置是针对所有登录者而言的,如果您想为不同的登录者分别配置安全规则,可以在“General Settings”栏中双击“Manage Terminal Server User”项,在弹出窗口的“User Name”栏中输入目标账户名称,点击“Add”按钮,将其添加到账户列表巾。同理,您可以添加多个登录账户名称。之后使用上述方法,激活独立账户控制模式。然后在CybSecureTS主窗口左侧的“SelectUser”列表中选择具体的账户名,之后为其分别配置具体的安全过滤条件即可。下载地址:http://www.workmoment.com/downloads/csts/CybSercureTS.zip。
一、巧设权限,让管理员账户掌控特权桌面
当黑客使用扫描工具探测到目标主机开启了远程桌面/终端服务后,就会通过各种手段进行渗透,当其入侵得手后一般会创建非法账户,然后使用该账户登录远程桌面/终端服务,完成各种破坏操作后扫除痕迹信息,然后逃遁而去。不管黑客如何狡猾,其登录之后必然和桌面打交道,否则其无法对系统进行有效控制。从这个角度出发,如果我们为Administrator账户设置复杂的密码让黑客无法破译,同时只允许Administrator拥有桌面控制特权,让其它任何账户都无法使用桌面的话,就算黑客入侵系统后,也会因为无法操作桌面而对系统无可奈何。
我们知道,桌面掌管者其实就是系统路径中的“explorer.exe”程序。我们首先为Administrator设置一个尽可能复杂的密码,之后打开C:\Windows”文件夹,在“explorer.exe”的右键菜单中点击“属性”项,在弹出窗口的“安全”面板(如图1)中点击“删除”按钮,删除“组或用户名称”栏中的所有组和账户。如果有些账户不能删除,可以点击“高级”按钮,在弹出窗口中的“权限”面板中取消“从父项继承那些可以应用到自对象的权限项目”,在弹出对话框中点击“删除”按钮,就可以清除所有的账户。之后点击“添加”按钮,在“选择用户或组”窗口中点击“高级”按钮,接着点击“查找”按钮,在结果列表中导入Administrator账户,注意不是Administrator组。选中添加的Administrator账户,在权限列表中只勾选“读取”和“运行”项。
完成以上操作后,还无法实现封锁非Administrator账户登录对桌面的使用权。因比,还需要使用Process Explorer这款小工具出手相助。在Process Explorer左侧选择“explorer.exe”进程,在其右键菜单中点击“propPrties”项,在属性窗口的“Security”面板中点击“Permissions”按钮,在权限窗口(如图2)中可以看到,所有预设账户都拥有对该进程的“Full Control”(完全控制)权限。原来,“Explorer.exe”实际上具有两种状态,存储在硬盘上时的静态和调入内存运行时的动态。上面谈到的权限设置实际上针对静态时的“Explorer.exe”发挥作用,当该程序运行后,其受制动态权限的控制,其权限是由Token访问令牌管控,其原理较为复杂,这里不进行讨论,感兴趣的朋友可以上网查阅相关资料。这里谈谈如何更改运行权限。
在上述“Process Explorer”权限窗口中取消所有账户针对“explorer.exe”的控制权,只保留Administrator账户拥有“Read”(读取)权限。经过这样一番设置后,您就会发现,当使用非Administrator账户登录终端服务/远程桌面时,系统会弹出登录失败的提示,只有使用Administrtator账户,才可以顺利进入桌面环境。实际上,经过对动态权限的限制,还可以避免恶意程序对“Explorer.exe”进程的注入操作,避免其成为DLL木马的藏身地。
二、为远程桌面/终端服务请个安全助手
在默认情况下,当使用者通过终端服务/远程桌面登录到本机后,在其使用的账户权限内,其行为几乎是不受约束的,可以对本机进行随心所欲的修改。这对本机的安全性威胁很大,会将您精心配置的系统搞得面目全非,轻则造成系统运行异常,重则引起病毒入侵让系统彻底损坏。因此,对使用者的操作行为进行必要约束,就显得很有必要。使用终端服务安全助手这款小软件,就可以轻松实现上述要求。在终端服务安全助手主窗口左侧的“远程桌面用户”中预设了“缺省设置”项,可以针对所有的连接本机的账户发挥作用。当然,您也可以创建新的账户,来设置相应的约束条件。在该列表底部点击“添加”按钮,在新用户窗口(如图3)中输入用户的名称、描述信息、密码等信息,勾选“设置账户有效期”项,可以设置具体的日期范围,这样超过改时间范围后,该账户就无法正常登录本机了。点击“创建”按钮,完成该账户的创建操作。
在“远程桌面用户”列表中选择所需的账户,在“安全策略”面板(图3)中针对系统的常用安全属性,提供了大量的安全配置项目,勾选对应的项目,可以激活对应的约束条件。包括删除开始菜单中的运行菜单、禁止使用查找功能、禁止使用注册表编辑器、隐藏公共对话框的位置栏、禁止打开命令提示符、禁止访问Windows Update、删除网上邻居中的“整个网络”、禁止删除工具菜单中的文件夹选项、禁止修改密码删除映射/断开网络驱动器、隐藏桌面图标、禁止Active Desktop、禁止锁定计算机、阻止删除打印机、禁止使用任务管理器、阻止添加打印机、禁止使用右键菜单等。
在“IE策略”面板(如图4)中针对IE浏览器常用的配置项目,提供了大量的限制条件。包括隐藏IE工具栏、禁止IE全屏显示F11键、隐藏IE搜索框、关闭IE开发工具F12键、隐藏“收藏夹”菜单、禁止IE下载程序或文件、隐藏IE菜单栏、禁止使用“Internet选项”、禁用“文件”菜单的打开、禁用IE右键菜单、禁用“文件”菜单的新建窗口、关闭弹出窗口阻止程序、禁止通过IE打印、禁用“查看”菜单、隐藏“帮助”菜单、隐藏命令栏、禁用“文件”菜单“另存为”、关闭首次运行自定义设置、禁用导入和导出等。 在“磁盘管理”面板中可以针对磁盘访问服务,设置所需的限制条件。在“磁盘访问控制”列表中列出了所有的磁盘盘符,您可以选择对应的盘符(例如D盘等),在其“隐藏磁盘”列中点击鼠标,可以激活或者取消该磁盘的隐藏功能。如果该磁盘处于隐藏状态,那么使用者就无法查看其中的文件。如果选择“禁止访问”项,那么使用者就彻底无法使用该磁盘了。按照同样的方法,您可以灵活地设置磁盘访问的权限。在“文件夹访问控制”栏中点击“添加”按钮,可以导入目标文件夹,这样当使用者连接本机后,就无法访问“文件夹访问控制”栏预设的文件夹了。为了防止黑客非法操作“我的文档”或者桌面上的文件,可以在“文件夹重定向”面板中分别设置“我的文档”和桌面文件夹的重定向路径,这样黑客就无法访问真实的“我的文档”或者对桌面进行破坏了。
为了防止黑客浑水摸鱼,非法远程登录本机,对登录时间进行限制是很有必要的。在“登录管理”面板(如图5)中勾选“启用登录限制”项,选择对应的星期数,在“起始时间”和“结束时间”栏目中设置时问范围,这样只有在规定的日期和时间内,才可以登录到本机上。例如针对黑客喜欢夜晚行动的特点,可以将夜晚的时间段排除在外,这样就可以有效防止黑客的入侵。实际上,您可以根据自己实际工作需要,设置自己才知道的登陆时间范围(例如上午“9:00到10:00”),这样在不影响自己正常工作的前提下,可以最大限度降低本机遭入侵的风险。为了防止使用者在本机上随意运行程序,可以在“应用管理”面板中勾选“只允许运行应用程序列表”项,点击“添加”按钮,导入所需的程序。按照同样的方法,可以导入其它允许运行的程序,这样使用者登录本机后,就只能运行您预没好的程序。此外,在“禁止运行应用程序列表”栏巾点击“添加”按钮,导入禁止运行的程序,这样当使用者试图运行这些程序时,会得到无法运行的警告。
为了进一步提高终端服务/远程桌面的安全性,还需要对其本身的安全属性进行合理的配置。在“终端服务设置”面板(如图6)中的“服务器设置”栏中可以修改终端服务/远程桌面的端口、限制每一个用户只能使用一个连接会话、当退出连接后可以自动删除临时文件夹、关闭默认的输入法映射等。在“数据重定向”栏中可以禁用打印机、驱动器、剪切板、COM端口、LPT端口等设备的重定向操作,避免使用者非法从本机获取机密信息。在“会话设置”栏中可以设置当连接会话断开1分钟后将其结束,避免空会话占用系统资源。之后点击确定按钮,完成针对终端服务/远程桌面的属性配置操作。下载地址:http://www.onlinedown.net/soft/110333.htm。
三、设詈过滤器,防止非法网络连接
SecureRDP是管理员的得力工具,可以杜绝非授权用户登录终端服务,让您的服务器远离“肉鸡”之列。SecureRDP的特点是可以为终端服务/远程桌面添加高级过滤功能,包括lP地址、主机名称、MAC地址、客户端版本、连接时间等过滤项目。这样只有符合条件的客户机才可以使用本机的终端服务/远程桌面,来执行远程控制操作,将无关主机的非法连接拒之门外。这样黑客即使知道了本机的lP和登录密码,也无法侵入本机。下载地址:http://www.onlinedwn.net/soft/18776.htm。
在SecureRDP主窗口左侧“Logon Filters”工具列中点击“IP Address”按钮,在窗口右侧勾选“EnableIP Address Filter”项,激活lP地址过滤功能点击“ADD”按钮,在地址添加窗口中的“Mode”列表中选择“Logon Disabled”项,表示添加禁止访问本机终端服务/远程桌面的客户机地址列表如果选择“Logon Enabled”项,则情况恰恰相反,可以定制允许访问本机终端服务/远程桌面的地址列表。之后在“From”和“To”栏中输入IP地址范围。如果只是限制单个IP,只需将“To”编辑框置空即可。点击OK按钮,完成地址的添加操作。按照同样的方法,您可以添加任意多个所需的地址序列。点击“Remove”或者“Edit”按钮,可以对选定的地址序列执行删除或者编辑操作。
在“Logon Filters”工具列中点击“ComputerName”按钮,在窗口右侧(如图7)勾选“Enablecomputer name Filter”项,激活客户机名称过滤功能,之后添加所需的客户机名称即可,注意的是客户端计算机名称过滤支持“*”通配符(例如“*hack*”等),这样可以有效提高名称过滤的广度,只有符合该名称的计算机才允许登录,具体的操作与上述完全相同。在“Logon Filters”工具列中点击“MAC address”按钮,在窗口右侧勾选“Enable MAC address Filter”项,激活客户机MAC地址过滤功能,点击“ADD”按钮,添加所需的MAC地址即可(如图8)。在“LogonFilters”工具列中点击“Client Version”按钮,在窗口右侧(如图9)勾选“Enable Client Version Filter”项,激活客户端系统版本过滤功能。在窗口右侧列表中预设了不同的系统版本号可供选择,SecureRDP提供了允许、禁止、高于、低于版本范围等灵活的限制条件。例如选择其中的“0419”和“2087”版本号,点击“Allow range”项,那么客户机的系统版本号之后处于“0419”和“2087”之间,才可以访问本机的终端服务/远程桌面功能。查看系统版本号的方法很简单,运行“winver.exe”程序,在弹出窗口中就会将版本号显示出来。
即使对于符合过滤要求的客户机,虽然其通过终端服务/远程桌面可以对本机进行远程控制,我们仍然可以对其连接的时间进行约束。在“LogonFilters”工具列中点击“Time Restriction”按钮,在窗口右侧勾选“Enable Time Restrictions Filter”项,激活时间限制功能(如图10)。如果勾选“All day”项,表示在任何时候都允许连接本机。如果选择“BetweenX and X”项,则可以设置具体的访问时间范围,同时可以勾选对应的星期数,这样只有在特定的日期、特定的时间范围内,才可以正常连接本机。如果勾选“Ignore administrators sessions”项,那么当具有管理员身份的用户连接本机时,可以避开上述时间限制。当然,以上几种过滤功能可以组合使用,这样可以大大提高防御的效率。 和其它远程控制软件不同,终端服务提供了多会话管理功能,同时允许不同用户执行远程控制操作,而且他们彼此之间相互独立。SeCureRDP可以针对终端服务的多会话功能,提供更加有限的安全控制服务。也就是说,对于允许连接的lP地址,SecureRDP还可以进一步限制其允许连接的会话次数。在“Session Restrictions”工具列中点击“Sessionsper lP”按钮,在右侧窗口中勾选“Enable Session perlP Filter”,激活针对目标IP的会话限制功能。点击“ADD按钮”,在弹出窗口中输入目标IP,设置针对该IP的允许连接的次数。这样,当客户端和服务器连接的次数超过指定会话次数后,将禁止连接。对于连接的账户名,SecureRDP也可以进一步限制其允许连接的会话次数,在“Session Restrictions”工具列中点击“Sessions per User”按钮,在窗口右侧勾选“EnableSessions per User Filter”项,激活针对特定账户的会话限制功能。点击“ADD”按钮,输入目标账户名和允许该账户连接的次数。这两种连接会话限制功能可以与上述登录过滤组合使用,从而大大提高终端服务的安全性。
在窗口左侧打开“Tools”工具列,点击其中的“Servers Informations”按钮,可以对指定终端服务器活动情况进行监视,点击“Popup Messages”按钮,可以设定当客户端连接服务器时,触发SecureRDP预设限制条件时弹出的消息。点击“Logs”按钮,可以查看日志文件、选择异或条件等。点击“FilteringLogic”按钮,在右侧窗口中提供了“And”和“Or”两种异或条件,用来设定过滤条件之间的逻辑关系。在SecureR DP中设置完成后,点击菜单“File”→“Applyconfiguration”使设置内容生效,有了SecureRDP的强大的保护功能,黑客对终端服务/远程桌面就奈何不得了。
四、让远程桌面/终端服务穿上“防护衣”
同以上软件相比,CybSecureTS的功能更加强大,可以对远程桌面/终端服务执行更加全面更加严格的管理。其支持Windows XP/2000/2003/2008/Vista/7等系统。当初次使用CybSecureTS时,在自动弹出的登录窗口中输入密码(默认为“Password”),点击“Login”按钮,进入CybSecureTS主控界面(如图11)。CybSecureTS采用两种不同的账户控制模式,其一是所有账户模式,也就是说不管任何账户登录到终端服务器上,都使用相同配置的安全过滤规则,这是默认的账户控制模式。另外一个是独立账户控制模式,CybSecureTS允许为不同的账户配置各自的安全过滤规则,这样当不同的账户登录到终端服务器上之后,会使用属于各自的安全过滤规则。点击菜单“Tools→General Options”项,在设置窗口左侧点击“Mode”项,在右侧窗口选择“All User Mode”项,激活所有账户模式。选择“Individual User Mode"项,激活独立账户控制模式。在窗口左侧点击“Password”项,在右侧窗口中可以更改CybSecureTS登录密码。
为简单起见,以所有账户模式为例进行分析。在CybSecureTS主窗口中的“Internet Filterig&Bloking”栏中双击“WebSite Filter”项,进入网址过滤规则设置窗口(如图12)。在其中的“Select URL List”列表中选择“Black List’项,激活黑名单模式。在“Enter Url”栏中输入目标网址,点击“Add”按钮,将其添加到黑名单列表中。按照同样的方法,可以添加任意多个网址到黑名单列表中。当用户登录到终端服务器后,是无法访问黑名单中的网址的。在“SelPct URL List”列表中选择“White List”项,激活白名单模式,白名单和黑名单是相反的,当用户登录到终端服务器后,是可以正常访问白名单中的网址的,网址白名单的添加方式与黑名单完全相同。
在上述“Internet Filterig&Bloking”栏中双击“File Filter”项,进入文件过滤规则设置窗口。在“Enter File Extension”栏中输入禁用的文件扩展名,您可以输入多个扩展名,彼此之间以逗号分隔。当用户登录到终端服务器上后,当试图访问或者下载禁用列表中的文件时,CybSecureTS可以对其进行阻止。例如您想在终端服务器上禁用BT下载,可以输入“.torrent”扩展名,点击“Add”按钮,将其添加到文件过滤列表中。这样当用户登录到终端服务器后,当试图打开BT种子,执行下载操作时,会遭到CybSecureTS的拦截。例如当您想禁用视频下载时,可以输入“.mpg,.mpeg,.avi,.flv,.mov,.wmv,.rmvb,.rm”等视频文件扩展名,这样当用户在终端服务器中试图下载符合规则的视频文件时,CyhSecureTS会立即对其进行彻底拦截。
网络通讯之所以可以顺利进行,离不开各种网络端口。对于网管员来说,有时很希望对终端服务器的端口使用情况进行有效控制。在上述“InternetFilterig&Bloking”栏中双击“Port Filter”项,在端口过滤规则窗口中的“Select Filter Type”列表中选择“Port Filter”项,激活端口白名单功能。在“PortFilter”栏中选择端口过滤类型、对应的网络协议(包括HTTP、FTP、SMTP、HTTPS、POP3、NEWS等)以及端口号,点击“Add”按钮,将其添加到端口白名单中。当用户登录到终端服务器后,可以正常访问端口白名单中的端口。在“Select Filter Type”列表中选择“Port Blocking”项,可以激活端口黑名单功能,在“Port Blocking”栏中第一个列表中选择禁用类型,包括“Block Completely”(全部禁用)、“BlockIncoming”(禁止接收数据)、“Blocking Outgoing”(禁止发送数据)等,在第二个列表中选择协议类型。除了常规的网络协议外,还可以选择“MSNMessenger”“Google Talk”“Yahoo Messenger”等项,来禁用上述聊天软件。在第三栏中输入具体的网络端口,点击“Add”按钮,添加禁用的端口即可。 如果您不想让登录者随意在终端服务器上使用Outlook、Foxmail等软件收发邮件,该怎么办呢?在上述“Internet Filterig&Bloking”栏中双击“Email Filter”项,在邮件过滤规则窗口(如图13)中的“Select EmailFilter”列表中选择“SMTP Filter”项,表示对邮件的发送进行拦截。在“SMTP Filter”栏中输入目标邮箱地址(例如“[email protected]”等),点击“Add”按钮,将其添加到拦截列表中,这样当登录者试图从列表中的邮箱发送邮件时,会遭到CybSecureTS的拦截。在“Select Email Filter”列表中选择“POP3 Filter”项,表示对邮件的接收进行控制。在“POP3 Filter”栏中输入目标邮箱地址,点击“Add”按钮,将其添加到拦截列表中。这样,当登录者试图从预设邮箱中接收邮件时,是无法正常进行的。按照以上方法,您可以按照拦截的方向,添加多个邮箱地址到禁用列表中。
CybSecureTS除了可以对以上网络项目进行安全管理,还可以对登录者的上网行为进行全面控制。在上述“Internet Filterig&Bloking”栏中双击“Internet Scheduler”项,在弹出窗口(如图14)中的“Internet Mode”栏中选择“Turn internet ON”项,表示允许登录者访问Internet。如果选择“Turn InternetOFF”项,表示始终禁止登录者访问Internet。如果选择“Enable Internet Scheduler”项,表示只允许登录者在预设的时间段内访问Internet。在“InternetScheduler”栏中的“Scheduler”列表中选择计划周期,包括每天、每星期、每月等。在“From”和“To”栏中设置时间间隔。点击“Add”按钮,将其添加到计划周期列表中。您可以同时添加任意多个时间段,在这些时间段内可以正常访问Internet。注意,以上所有访问规则发生效力的前提是必须遵守已经创建的所有安全过滤规则。
当登录者试图访问网址黑名单中的网站时,CybSecureTS允许您为其设置必要的警告规则。在上述“Internet Filterig&Bloking”栏中双击“InternetSettings”项,在弹出窗口(如图15)中的“ShowBlocked Message in”列表中如果选择“DO not showany messages(block silently)”项,表示当登录者访问禁用的网址时,CybSecureTS直接进行拦截而不弹出任何警告信息。如果选择“Browser Windows”项,表示可以弹出警告窗口,在“Blocked Internet Nessage”栏巾可以输入警告的内容。如果选择“Message Box”项,可以弹出警告对话框。如果选择“Redirect URL”项,表示执行网址重定位操作。在“Redirect Url”栏中输入目标网址,这样当登录者试图访问禁用网址时,会自动导向到预设网址。此外,可以在“Enter EXEname”栏中选择目标程序,点击“Add”按钮,将其添加到可用程序列表中,当登录者试图访问禁用网址时,会自动启动预设程序。
当用户登录到终端服务器后,必然会操作各种程序和文件,对这些对象进行必要的安全控制,对于终端服务器的安全,是很有必要的。在“ApplicationBlocking”栏中双击“Application Blocker”项,在弹出窗口中的“Enter EXE Name”栏中点击浏览按钮,选择目标程序,将其添加到禁用列表中。注意CybSecurerrs添加的不是程序的名称,而是程序的产品名称。例如选择QQ,添加的是“QQ2011”。在Windows中打开目标程序属性窗口,在“版本”页面中的“产品名称”栏中显示是程序的真实名称。这样做的好处是即使登录者改变了目标程序的显示名称,也无法摆脱CybSecureTS的限制。按照上述方法,您可以添加任意多个程序到禁用列表中。
在“Application Blocking”栏中双击“WindowsBlocker”项,在弹出窗口中可以设置窗口过滤规则。在“Enter Window Title”栏中输入目标窗口的标题(可以是窗口标题部分内容,例如“Word”等,CybSecureTS支持模糊查询功能),这样当登录者启动的窗口标题栏中包含禁用的内容后,CybSecurerTS可以立即将其关闭。按照同样的方法,您可以添加任意多个窗口标题。
当您针对程序和窗口预设了大量的禁用规则后,CybSecureTS还允许您设置特定的时间段,来允许登录者操作禁用的程序或者窗口,这样可以提高安全管理的柔韧度。在“Application Blocking”栏巾双击“AppliCation Scheduler”项,在弹出窗口中设置汁划周期和时间间隔,之后将其添加到计划列表中即可,具体操作与上述基本相同。注意,您必须在窗口底部勾选“Enable Application Scehduler”项,才可以激活上述计划访问机制。当登录者触发以上程序和窗口安全过滤规则时,CybSecureTS允许您白定义警告方式。在“Application Blocking”栏中双击“ApplicationSettings”项,在弹出窗口中选择具体的警告规则即可,包括弹出警告对话框,静默阻止等。具体的设置方法与上述设置方法完全相同。
当配置好安全规则后,点击菜单“File→RegisterAll Filters”项,完成安全规则的注册操作,之后安全规则才可以生效。当然,上述安全规则的设置是针对所有登录者而言的,如果您想为不同的登录者分别配置安全规则,可以在“General Settings”栏中双击“Manage Terminal Server User”项,在弹出窗口的“User Name”栏中输入目标账户名称,点击“Add”按钮,将其添加到账户列表巾。同理,您可以添加多个登录账户名称。之后使用上述方法,激活独立账户控制模式。然后在CybSecureTS主窗口左侧的“SelectUser”列表中选择具体的账户名,之后为其分别配置具体的安全过滤条件即可。下载地址:http://www.workmoment.com/downloads/csts/CybSercureTS.zip。