遠(yuǎn)程終端服務(wù)是微軟Windows Server系列中的一大特色，由于其簡(jiǎn)潔、維護(hù)及使用方便等特點(diǎn)深受廣大用戶及其黑客的喜愛(ài)，而遠(yuǎn)程終端服務(wù)往往運(yùn)行在一些有重要程序的服務(wù)器上;如果由于遠(yuǎn)程終端服務(wù)的配置和管理不當(dāng)，往往會(huì)帶來(lái)巨大的經(jīng)濟(jì)損失。

　　一、 遠(yuǎn)程終端服務(wù)技術(shù)介紹

　　Windows 2003 Server中的Windows Terminal Services(WTS)又稱為遠(yuǎn)程終端服務(wù)(Remote Terminal Services)或者俗稱為3389，是在Windows NT中最先使用的一種終端，在Windows 20030 Professional版本中不可以安裝，在 Windows 2003 Server或以上版本才可以安裝這個(gè)服務(wù)，其默認(rèn)服務(wù)端口為3389，在Windows XP系統(tǒng)中稱為“遠(yuǎn)程桌面(Remote Desktop)”。

　　遠(yuǎn)程終端服務(wù)是Windows 2003 Server中的一項(xiàng)重要服務(wù)，主要通過(guò)遠(yuǎn)程桌面連接來(lái)對(duì)服務(wù)器進(jìn)行管理或者運(yùn)行應(yīng)用程序，其功能類似于遠(yuǎn)程管理軟件，由于遠(yuǎn)程終端服務(wù)使用簡(jiǎn)單、方便，不產(chǎn)生交互式登陸，而且可以在后臺(tái)操作，因此在各行各業(yè)都有大量的應(yīng)用，深受用戶喜愛(ài)。

　　遠(yuǎn)程終端服務(wù)在很多大型系統(tǒng)中使用得越來(lái)越廣泛，正是由于遠(yuǎn)程終端服務(wù)在Windows Server 2000以及Windows 2003 Server中開(kāi)啟非常簡(jiǎn)單方便，一般情況都不需要重新安裝，只需要運(yùn)行幾行DOS命令即可開(kāi)啟，且由于使用終端不受IP地址的限制，只要擁有用戶賬號(hào)及其對(duì)應(yīng)的用戶口令，就可以正常登錄，因此對(duì)Windows 2000 Server來(lái)講遠(yuǎn)程使用終端服務(wù)即開(kāi)啟了方便之門(mén)，也開(kāi)啟了網(wǎng)絡(luò)安全的安全隱患之門(mén)，而且目前還有針對(duì)Windows 2000 Server及其以上版本的遠(yuǎn)程終端服務(wù)攻擊的軟件，一旦攻擊成功，對(duì)于運(yùn)行重要程序的服務(wù)器將會(huì)帶來(lái)不可估量的經(jīng)濟(jì)損失，下面對(duì)遠(yuǎn)程終端服務(wù)以及相關(guān)安全技術(shù)進(jìn)行分析。

二、 遠(yuǎn)程終端開(kāi)啟技術(shù)

　　1. 遠(yuǎn)程終端服務(wù)開(kāi)啟步驟

　　在Windows 2000 Server中，有許多開(kāi)啟遠(yuǎn)程終端服務(wù)方法，歸納起來(lái)對(duì)于遠(yuǎn)程終端的開(kāi)啟主要通過(guò)以下步驟來(lái)進(jìn)行：

　　(1) 查看“Terminal Services”是否開(kāi)啟?？梢酝ㄟ^(guò)服務(wù)器中的“服務(wù)管理”以及通過(guò)DOS命令下的“net start”來(lái)查看。如果在服務(wù)管理器中“Terminal Services”的狀態(tài)為“啟動(dòng)”，則表示“Terminal Services”開(kāi)啟成功;而在DOS命令下使用“net start”的結(jié)果中如果出現(xiàn)了“Terminal Services”則表示開(kāi)啟了遠(yuǎn)程終端服務(wù)。

　　(2)啟動(dòng)Windows Terminal Services服務(wù)。

　　(2) 使用“遠(yuǎn)程桌面連接”(RDP)連接遠(yuǎn)程終端，如果使用RDP連接遠(yuǎn)程終端成功，則表示遠(yuǎn)程終端服務(wù)開(kāi)啟成功。

　　2. 一些常見(jiàn)開(kāi)啟遠(yuǎn)程終端服務(wù)的方法

　　(1)使用rots.vbs腳本

　　Rots.vbs是由網(wǎng)名為“灰色軌跡zzzevazzz”寫(xiě)的一個(gè)VBS腳本，該腳本通過(guò)系統(tǒng)中自帶的cscript.exe應(yīng)用程序來(lái)執(zhí)行，使用該腳本可以開(kāi)啟終端服務(wù)以及修改終端服務(wù)端口，其使用格式為：


　　
Quote:
cscript.exe rots.vbs ip user userpass port /r或cscript.exe rots.vbs ip user userpass port /fr


　　(2)使用bat命令

　　通過(guò)記事本建立一個(gè)bat文件，在其中分別輸入以下內(nèi)容：


　　
Quote:
echo [Components] > c:\sql 
　　echo TSEnable = on >>sql 
　　c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q


　　然后運(yùn)行該批處理命令，重新啟動(dòng)計(jì)算機(jī)后，遠(yuǎn)程終端服務(wù)開(kāi)啟成功，該方法不能更改終端服務(wù)的端口。

　　(3)導(dǎo)入一個(gè)reg文件到需要開(kāi)啟終端服務(wù)的機(jī)器中

　　該方法主要是修改遠(yuǎn)程終端服務(wù)的端口及其相關(guān)設(shè)置，通過(guò)生成一個(gè)以reg為后綴的文件，將該文件導(dǎo)入到需要開(kāi)啟終端服務(wù)的計(jì)算機(jī)上。該方法比較隱蔽，通過(guò)服務(wù)管理器以及“net start”命令均不會(huì)發(fā)現(xiàn)終端服務(wù)已經(jīng)啟動(dòng)。Reg文件內(nèi)容如下：


　　
Quote:
Windows Registry Editor Version 5.00 
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] 
　　"Enabled"="0" 
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 
　　"ShutdownWithoutLogon"="0" 
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] 
　　"EnableAdminTSRemote"=dword:00000001 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] 
　　"TSEnabled"=dword:00000001 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] 
　　"Start"=dword:00000002 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] 
　　"Start"=dword:00000002 
　　[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] 
　　"Hotkey"="1" 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 
　　"PortNumber"=dword:00000D3D 
　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
　　"PortNumber"=dword:00000D3D 


　　(4)使用SQL注入軟件啟動(dòng)3389服務(wù)

　　在Domain3.5以及網(wǎng)名為教主的HDSI2.0 SQL等注入工具中均提供了開(kāi)啟3389終端服務(wù)功能，使用該類軟件來(lái)開(kāi)啟3389的前提條件是運(yùn)行Web服務(wù)的服務(wù)器必須存在SQL注入漏洞，而且數(shù)據(jù)庫(kù)用戶的權(quán)限較大，在SQL Server 2000中數(shù)據(jù)庫(kù)用戶必須為sa。

　　(5)使用其它軟件開(kāi)啟3389

　　在網(wǎng)上其它一些流行軟件其開(kāi)啟原理跟前面類似，只是使用不同的編程語(yǔ)言進(jìn)行實(shí)現(xiàn)。


三、 遠(yuǎn)程終端攻擊技術(shù)

　　遠(yuǎn)程終端攻擊中的技術(shù)跟常規(guī)的攻擊技術(shù)相同，其中有一款單獨(dú)針對(duì)遠(yuǎn)程終端服務(wù)攻擊的軟件(Terminal Services Cracker)，其原理就是利用攻擊字典進(jìn)行自動(dòng)嘗試，如果遠(yuǎn)程終端服務(wù)器中允許登陸的口令在攻擊字典中，在理論上攻擊是成功的。

　　四、 遠(yuǎn)程終端服務(wù)安全設(shè)置及其防范對(duì)策

　　在網(wǎng)絡(luò)安全中，只有相對(duì)的主動(dòng)安全，沒(méi)有絕對(duì)的安全，本文主要針對(duì)Windows中的遠(yuǎn)程終端服務(wù)的安全進(jìn)行討論，對(duì)于與遠(yuǎn)程終端服務(wù)安全無(wú)關(guān)的內(nèi)容在此不進(jìn)行贅述，對(duì)于提供遠(yuǎn)程終端服務(wù)的計(jì)算機(jī)來(lái)說(shuō)，可以參考以下安全設(shè)置，并根據(jù)實(shí)際情況進(jìn)行相應(yīng)調(diào)整。

　　1.及時(shí)更新系統(tǒng)安全補(bǔ)丁。

　　對(duì)于安裝遠(yuǎn)程終端服務(wù)的計(jì)算機(jī)，在新漏洞出現(xiàn)，尤其是在遠(yuǎn)程提升權(quán)限漏洞方面最容易出現(xiàn)安全問(wèn)題，極易受到攻擊，因此除了系統(tǒng)安裝完成后，立即更新系統(tǒng)目前所有漏洞的補(bǔ)丁外，還建議啟動(dòng)系統(tǒng)的自動(dòng)更新功能。一旦出現(xiàn)新漏洞的補(bǔ)丁程序，立即進(jìn)行更新，在安全更新后需要對(duì)系統(tǒng)做一次徹底的安全檢查，以確保系統(tǒng)安全。

　　2.嚴(yán)格安全日志檢查和遠(yuǎn)程終端服務(wù)登錄日志檢查

　　系統(tǒng)中應(yīng)當(dāng)建立3389登陸日記記錄，并定期嚴(yán)格檢查系統(tǒng)安全日志和遠(yuǎn)程終端登錄日志。

　　3.遠(yuǎn)程終端服務(wù)應(yīng)用程序共享安全規(guī)則

　　(1)一個(gè)應(yīng)用程序?qū)?yīng)一臺(tái)遠(yuǎn)程終端服務(wù)器。

　　(2)不要允許遠(yuǎn)程控制，只允許執(zhí)行應(yīng)用程序，最好是只執(zhí)行一個(gè)應(yīng)用程序。

　　(3)當(dāng)多個(gè)服務(wù)器使用遠(yuǎn)程終端服務(wù)器來(lái)提供應(yīng)用程序共享時(shí)，可將所有的遠(yuǎn)程終端服務(wù)器放入一個(gè)單一的OU來(lái)應(yīng)用安全策略。

　　4.使用第三方遠(yuǎn)程終端安全管理軟件2XSecureRDP

　　2XSecureRDP是由歐洲的2X公司開(kāi)發(fā)的一種免費(fèi)遠(yuǎn)程終端連接安全管理工具軟件，該軟件可以有效地保護(hù)遠(yuǎn)程用戶，可以根據(jù)情況來(lái)選擇以何種方式對(duì)RDP進(jìn)行檢驗(yàn)，比如按照IP設(shè)置、客戶端名稱、日期時(shí)間或者企業(yè)所選擇的其它標(biāo)準(zhǔn)來(lái)進(jìn)行檢驗(yàn)。該軟件只允許符合過(guò)濾條件的用戶進(jìn)行登錄，能夠很好的保護(hù)運(yùn)行有終端服務(wù)的計(jì)算機(jī)的安全。

　　5.自動(dòng)記錄遠(yuǎn)程終端登錄日志

　　由于運(yùn)行遠(yuǎn)程終端服務(wù)的計(jì)算機(jī)無(wú)法對(duì)IP地址進(jìn)行限制，從管理的角度需要進(jìn)行日志記錄，方法是建立一個(gè)名稱為T(mén)SLog.bat文件，用來(lái)記錄登錄者的ip等相關(guān)信息[3]，腳本內(nèi)容如下：


Quote:

　　time /t>>TSLog.log 
　　netstat -n -p tcp |find ":3389">>TSLog.log 
　　start Explorer 


　　在終端服務(wù)配置中，需要覆蓋用戶的登陸腳本設(shè)置并指定為用戶登錄時(shí)需要打開(kāi)的腳本文件TSLog.bat，以使每個(gè)用戶登錄后都必須執(zhí)行該腳本文件。

　　6.推薦的遠(yuǎn)程終端服務(wù)器設(shè)置

　　7.使用應(yīng)用程序安全工具來(lái)限制應(yīng)用程序訪問(wèn)[6]

　　可以安裝“Windows 2000 Server Resource Kit”中“計(jì)算機(jī)管理工具”，然后運(yùn)行該工具中“應(yīng)用安全”來(lái)嚴(yán)格限制應(yīng)用程序的訪問(wèn)。

　　五、結(jié)束語(yǔ)

　　本文對(duì)安裝有遠(yuǎn)程終端服務(wù)的計(jì)算機(jī)的安全問(wèn)題進(jìn)行分析討論，對(duì)開(kāi)啟遠(yuǎn)程終端服務(wù)及其攻擊遠(yuǎn)程終端服務(wù)器的各種技術(shù)進(jìn)行了分析，最后提出了針對(duì)遠(yuǎn)程終端服務(wù)的安全解決方法和一些可供參考的安全推薦設(shè)置，對(duì)提供遠(yuǎn)程終端服務(wù)的計(jì)算機(jī)用戶具有一定參考價(jià)值。

最新評(píng)論