一.修改终端服务的端口:
修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
二个分支下的portnumber键值改为你想要的端口.
改好后,客户端连接可以:
ip:端口号 比如 192.168.1.3:100
二.隐藏上次登陆的用户名:
防止被恶意破解3389管理员用户密码
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改为1就可以了。
DontDisplayLastUserName 的值改为1就
三.限止指定用户可登陆终端
为了安全,没必要让服务器所有用户都允许登陆,我们可以指定一个管理员账号可以登陆.比如用户hack
在“管理工具”---“终端服务配置”---“连接”,再选择右边的“RDP-TCP”的属性,找到“权限”选项,删除administrators组,然后再添加我们允许的hack这个用户,其他一律不允许登陆。
四.启动3389审核
“终端服务”默认没有日志记录,需要手动设置开启方法如下:
在RDP-TCP”的属性,找到“权限”选项下“高级”里有个“审核”添加everyone,然后选择需要记录的的事件。
一般审核以下几个事件:
登录 成功 失败
注销 成功
断开 成功
五.制作3389事件查看器:查看登录的IP地址情况
首先创建2个批处理文件:
3389log.bat :用户登录时运行的脚本文件.
3389log.txt :记录3389登录的IP地址.
编写"3389log.bat"脚本文件:
date /t >>3389log.txt
time /t >>3389log.txt
netstat -n -p tcp | find ":3389">>3389log.txt
start Explorer
解释:
第一行代码用于记录用户登录的时间
第二行代码记录终端用户的IP地址
netstat”是用来显示当前网络连接状况的命令,“-n”用于显示IP和端口,“-p tcp”显示TCP协议,管道符号“|”会将“netstat”命令的结果输出给“find”命令,再从输出结果中查找包含“ 3389”的行,最后把这个结果重定向到日志文件“3389log.txt”.
最后一行为启动Explorer的命令.
1.进入系统管理工具中的“终端服务器配置”,进入到默认RDP-Tcp属性中
2.切换到“环境”页下,启用“用户登录时启用下列程序”
3.在程序路径和文件名处填写c:\hack\3389log.bat;并在起始于填写:c:\hack\
4.搞完了隐藏咱们的BAT和LOG文件,完事!
六.限制,指定连接终端IP地址
