window2003/2008系統中的遠程終端服務是一項功能非常強大的服務,同時也成了黑客入侵者長駐主機的通道,入侵者可以利用一些手段得到管理員賬號和密碼併入侵主機。下面,我們來看看如何通過修改默認端口,以防範黑客通過3389終端服務入侵。
windows系統默認的遠程終端口是3389。入侵者一般先掃描主機開放端口,一旦發現其開放了3389端口,就會進行下一步的入侵,所以我們只需要修改該務默認端口就可以避開大多數入侵者的耳目。
攻擊原理:黑客先掃描開放開啟了3389端口的服務器—然後通過一些黑客軟件批量暴力破解服務器的登錄密碼。
知道了原理我們就有了防禦的對策小殘在這裡總結一下幾種方法:
1.更改遠程連接終端服務的默認3389端口
(1. 可以通過註冊表修改3389終端端口:步驟:
開始—運行—輸入regedit.exe(regedit.exe這個是註冊表)—確定(很快註冊表編輯器就會跳出來)
然後查找3389:
請按以下步驟查找:
HKEY_LOCAL_MACHINE–—SYSTEM—CurrentControlSet—Control—Terminal Server—WinStations—RDP-Tcp
最後修改3389:
我們找到rdp-tcp後就會在註冊表的右邊查找PortNumber(在PortNumber後面有3389的一串數字!)
然後在點PortNumber(右鍵)這個時候會出來一個提示框—-點修改—-點10進制—-修改3389為你想要的數字比如1314什麼的—-再點16進制(系統會自動轉換)—-最後確定!這樣就ok了。
其實如果你覺得這樣操作很複雜的話可以打開註冊表後直接搜索PortNumber 然後即可一步到位找到。
這樣3389端口已經修改了,但還要重新啟動主機,這樣3389端口才算修改成功!如果不重新啟動3389還是修改不了的!重其起後下次就可以用新端口(1314)進入了!
到這裡就已經成功修改好了默認的3389端口了這樣就可以從而阻斷黑客掃描默認的3389連接我們的服務器
2.加強服務器帳號密碼
(1.window計算機的默認帳號是administrator基本是眾所周知的事情了,當然這也給黑客有機可乘。
所以就需要修改默認的administrator帳號
我可以先將administrator帳號刪除然後在添加一個新的帳號。
防止3389終端服務被惡意利用的方法還有很多小殘這裡到的到只是常規的防禦方法
還有比較極端的方法比如:設置只允許指定的IP連接
或者利用一些第三方軟件設置只允許指定的計算機名稱或者特徵電腦遠程連接
我們如何才能知道黑客入侵了我們的服務器,如果在服務器上了惡意的破壞且印象非常嚴重想找出是誰入侵了我們的服務器?可以通過服務器自帶的終端日誌記錄來揪出入侵者的IP地址以及登錄服務器的時間
1、在一個位置上建立一個存放日誌和監控程序的目錄,
2、在其目錄下建立一個名為RDPlog.txt的文本文件
3、在其目錄下建立一個名為RDPlog.bat的批處理文件,內容為:
date /t >>RDPlog.txt
time /t >>RDPlog.txt
netstat -n -p tcp | find ":3389">>RDPlog.txt
start Explorer
4、進入系統管理工具中的“終端服務器配置”,進入到默認RDP-Tcp屬性中
5、切換到“環境”頁下,啟用“用戶登錄時啟用下列程序”
6、例如我們在C:\Program Files\目錄下創建的RDPlog.bat則在程序路徑和文件名處填寫:C:\Program Files\RDPlog.bat 並在起始於填寫:C:\Program Files\
完成以上的配置步驟後,當再次登錄服務器時就會記錄當前登錄者的時間和IP
PS:為了以免入侵者發現最好將文件設置費C盤下的其他目錄,且把目錄和文件設置成隱藏
當無法進入服務器取證的時候可以將服務器重做系統後在進入查看。
閱讀更多 維恩網絡科技 的文章