转载自: http://tech.ddvip.com/2009-01/1231231087104840 _2. html
昨天,家里的服务器被黑客攻击了。 理由是太大意了。 将家庭服务器DMZ直接映射到网络,远程桌面上的3389端口未更改或默认端口。 扫描端口后,可以立即访问服务器。 在网上找文章很有用,特别是第一条适合普通用户。 以下是正文:
我想大家都很熟悉远程桌面的使用。 还是大致说明一下吧。 在企业中,网络管理员管理服务器的一种方式是在自己的计算机上以远程桌面(如直流)身份登录到服务器并完成服务器管理。 众所周知,要完成此操作,必须在服务器上启用“远程桌面”功能,然后客户端才能使用“远程桌面连接”工具完成连接。 今天的网络拓扑结构如下。
一.轻松实现
1 .在服务器N1上,右键单击桌面上的“我的电脑”- -属性,选择“远程”,然后在下面的远程桌面下选中。 但是,请注意,如果启用了服务,则会打开名为3389的端口并等待。 如果客户端可以访问,则必须满足以下两个条件
a .此用户已加入远程桌面用户组,密码不能为空。
b .此服务器的3389端口必须接受远程用户的访问。 也就是说,如果本机有防火墙,必须请求防火墙开放3389端口。
可以通过单击下面的“选择远程用户”来添加第一个,例如添加hxdxbw域用户。
注意:对于直流,这样添加后,用户还无法远程连接到此服务器。 还必须更改“默认域控制器安全设置”。
操作:打开"开始"菜单---程序--- -管理工具---默认域控制器安全设置,在对应的项目中,如下图所示:
最后在gpupdate /force中更新并启用此服务的组策略。
此服务器上的端口被监视如下:
上面一行显示此服务器位于3389端口,下面一行显示当前有10.1.1.6台计算机连接到此服务器的3389端口。
2 .客户端必须使用mstsc /v:n1完成连接,输入相应的用户名和密码,并验证登录是否成功。
二.实现安全的远程桌面连接
在前面的例子中,实现了远程桌面的连接。 可用于管理服务器。 别人只要使用合适的扫描端口软件,就能知道你的机器打开了那些端口。 这样,我就能知道你的机器打开的远程桌面的功能了。 此外,通过正确的方法获取您的管理员密码,可以将远程桌面连接到您的计算机。 怎样才能实现安全的连接呢? 我们从以下两点出发:
(一)将3389的端口改为6689。
)二)即使使用合适的数据包工具,加密通信进程也是徒劳的。
(三)对远程桌面连接用户和客户端进行特殊认证。 即,只有经过该认证才能进行连接。
关于后者,今天使用IPSec来实现。 有关IPSec的详细信息,可以参考幻想老鼠的IPSec使用策略和规则来提高网络的安全性。 正在写。
如何实现? 好的,马上操作吧~~~
(一)更改端口:
简单操作步骤:打开“开始”-“运行”,键入regedit,打开注册表,然后转至以下路径: [ HKEY _ local _ machinesystemcurrentcontrolsetcontrolterminalserverwdsrdpwdttter ]默认值为6689 (更改为十进制显示),表示所需的端口,例如
打开[ HKEY _ local _ machinesystemcurrentcontro1setcontroltenninalserverwinstationsrdp-TCP ],然后输入端口编号(默认值为3389 )
关闭注册表编辑器后,重新启动计算机即可生效。
用以下命令再次确认。
在6689进行监听,可以看到同时连接了一个客户端。
连接客户端时可用的命令: mstsc /v:n1:6689
如果使用mstsc /v:n1,将显示以下提示:
(二)加密通信流程
(三)进行用户或者计算机的认证
这两个人一起完成!
使用IPSec时需要注意。 在很多情况下,我们需要两者都做。 在我们的案例中,两者选择的加密方式和认证必须一致。 具体操作如下。
1 .服务器端配置IPSec :
运行菜单--------MMC,添加“IP安全策略管理”控制台组件。
如上图所示,单击“添加”后,将出现以下内容:
选择本地计算机,然后单击“完成”。 对于其他对话框,最后如下所示。
/p>在这里,我们新建IP安全策略,如下:
取一个名字,sec mstsc。
单击下一步,不选择“激活默认响应规则”,下一步,到一个页面,单击完成,同时打开编辑页面:
在这里各位可以看到,任何一条IPSec策略,可以包含多条规则,你可以单击添加,添加多条规则。此时单击添加,如下所示:
在这里我们看到任何一条规则包含三要素:筛选器、筛选器操作、身份验证方法。
我们创建我们自己那条规则,也是我们的第一条规则。当然要依次定义这三个要素,当定义完了,我们的这条规则自然也就创建完了。
第一要素:筛选器 单击“添加”如下:
再次单击上面的添加,我们来定义将筛选谁到谁(源地址--目的地址)的哪些协议或端口。如下:
在这里,根据实际情况,我们将筛选:从任意IP的任意端口到这台机器的6689端口。
单击两次确定,回到如下图,并选中我们刚创建好的这个筛选器。
接着:
第二要素:筛选器操作(即对于刚才的这个筛选,我们是拒绝/允许/还是加密允许)
单击上图中的“筛选器操作”,如下:
上图中,单击添加,如下图所示:再次单击添加,选择加密方式后,单击确定。
最后如下图所示,你可以单击“常规”,给这个筛选器操作取个名字,如security.注意要选择这个操作。不用图示了吧~~在这里我们做好这个操作。最后单击确定,回到前面在要素的界面,继续我们的第三个要素:
第三要素:身份验证方法:
这里有三种验证方法:
Kerberos(需要AD支持)
证书(需要CA)
预共享密钥。
我们这里是域环境,所以我们可以选择Kerberos这种方式,如果你不是域环境,可以选择下面两种,至于证书,你需要在企业里搭建CA,预共享密钥比较简单,取个密钥就可以了。
在这里我们选择第一种方式,至于后面两种方式,我会在下次给各位道来~~~~~
具体操作如下:
其实,默认选的就是Kerberos验证方式,所以关于“身份验证方式”你不用任何操作IPSec已经为你做好。
最后依次检查一下这三个要素,没有任何问题的话,最后单击“确定”如下图所示:
上面这条规则就是我们刚才所做的,最后单击“确定”,回到下图:
注意:我们必须右击这条策略,选指派,否则这条策略是不生效的!!!
这样,我们就做完了服务器端的配置,如果此时你在客户端再次连接服务器,客户端一直在连接,其实在做相应的验证方法检验,发现通过不了,最后弹出连接不上,如下所示:
2.客户端配置IPSec:
其实操作如法炮制,注意要和服务器选择的加密和身份验证方法一样。最后也把它启用,就OK了。
当然在规则的筛选器上你要注意变通一下,如下所示:
好了,终于做完了,马上在客户端利用命令mstsc /v:n1:6689连接一下,OK,成功了!!!!!!
三、比较普通的远程桌面和安全的远程桌面的区别:
我们利用“网络监视器”来前后抓包看一下究竟,如上下两副图的区别:
上面这幅图其实就是普通的连接,协议显示的是TCP,并用端口及内容看得很清楚!
这副图,是利用IPSec之后的连接,各位可以看到,协议显示的是ESP(加密的),内容等都看不到了。
总结:通过我们的这一番实验,各位差不多应该已经学会了怎么使你的远程桌面变得更安全!!