昨天家裏服務器被小***爆了。原因就是太大意了。直接把家裏的服務器DMZ映射到網絡上 而且遠程桌面的3389端口沒改掉還是默認端口。端口一掃描然後直接就可以訪問服務器了。網上找了篇文章蠻有用的 特別是第一條 適合普通用戶使用。以下是正文:
對於遠程桌面的使用,我想各位都已經很熟悉了吧?!還是來大致介紹一下吧,在企業裏,網絡管理員管理服務器的方法之一就是在自己的機器上,以遠程桌面的形式登錄到服務器上,如DC,完成服務器的管理,衆所周知,我們要完成這個操作,需要在服務器上啓用“遠程桌面”功能,然後客戶端利用“遠程桌面連接”工具來完成連接。我們今天的網絡拓樸如下:
一、簡單的實現
1.在服務器N1上,右擊桌面上的“我的電腦”---屬性,選擇“遠程”,在下面的遠程桌面下,打勾。但要注意服務器啓用後,便會開啓3389這個端口進行偵聽,客戶端若能訪問,必須滿足兩個條件:
a.該用戶加入到Remote Desktop Users組中,並且該用戶的密碼不能爲空。
b.這臺服務器的3389端口必須能接受遠程用戶的訪問。即如果本機有防火牆,必須要求防火牆開放3389端口。
對於第一條,你可以通過單擊下面的“選擇遠程用戶”來添加,如添加alice域用戶。
注意:對於DC,你這樣添加後,該用戶還不能遠程來連接這臺服務器(默認下,管理員可以),你還必須修改“默認的域控制器的安全設置”。
操作:打開開始菜單--程序--管理工具--默認的域控制器的安全設置,如下圖所示,在對應項裏如下操作:
最後通過gpupdate /force來刷新這臺服務器的組策略使之生效。
查看一下,這臺服務器的端口偵聽情況如下:
其中上面這條表示這臺服務器在3389端口Listening,而下面這條表示當前10.1.1.6這臺機器已經連接到了這臺服務器的3389端口。
2.客戶端使用mstsc /v:n1可以完成連接,要求輸入相應的用戶名和密碼,驗證通過登錄成功。
二、實現安全的遠程桌面連接
通過前面的實例我們已經實現了遠程桌面的連接,可以用來管理服務器了,各位試想,他人只要用相應的掃描端口的軟件就能知道你的機器開啓了那些端口,這樣一來,也就知道了你的機器開啓的遠程桌面功能,再使用相應的方法獲取你的管理員的密碼,也就可以對你的機器進行遠程桌面的連接了,怎麼可以實現安全的連接呢?我們從以下兩點出發:
(一)將3389的端口改掉,如6689.
(二)對通信過程進行加密,即使你用相應的抓包工具也無濟於事。
(三)對遠程桌面連接用戶及客戶機進行特殊的身份驗證,即只有通過該身份驗證纔可以進行連接。
對於後兩者,今天我們使用IPSec來實現。有關IPSec的詳細介紹各位可以參看<凌激冰>的利用IPSec使用策略和規則提升網絡安全性,寫的不錯!!
怎麼來實現呢?好,我們馬上操作一把~~~
(一)改端口:
簡單操作步驟:打開"開始→運行",輸入"regedit",打開註冊表,進入以下路徑:[HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlTerminal Server WdsrdpwdTdstcp],看見PortNamber值了嗎?其默認值是3389(改爲十進制顯示),修改成所希望的端口,例6689。
再打開[HKEY_LOCAL_MACHINESYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDP-Tcp],將PortNumber的值(默認是3389)修改成端口6689
關閉註冊表編輯器後重啓計算機,即可生效。
通過如下命令再次查看:
會發現在6689偵聽,同時有一個客戶端已經連接上來了。
客戶端連接時可利用命令:mstsc /v:n1:6689
如果使用mstsc /v:n1,如出現如下提示:
(二)對通信過程進行加密
(三)對用戶或計算機進行身份驗證
這兩個我們一起完成!!
使用IPSec時各位需要注意,多數情況下我們需要在兩邊都要做,在我們這個案例中,要求兩邊所選擇的加密方式和身份驗證要一致。具體操作如下所示:
1.服務器端配置IPSec:
開始菜單---運行---mmc,然後添加“IP安全策略管理”控制檯組件。
如上圖,單擊添加後,如下所示:
選擇本地計算機,單擊完成,關於其它對話框,最後如下:
在這裏,我們新建IP安全策略,如下:
取一個名字,sec mstsc。
單擊下一步,不選擇“激活默認響應規則”,下一步,到一個頁面,單擊完成,同時打開編輯頁面:
在這裏各位可以看到,任何一條IPSec策略,可以包含多條規則,你可以單擊添加,添加多條規則。此時單擊添加,如下所示:
在這裏我們看到任何一條規則包含三要素:篩選器、篩選器操作、身份驗證方法。
我們創建我們自己那條規則,也是我們的第一條規則。當然要依次定義這三個要素,當定義完了,我們的這條規則自然也就創建完了。
第一要素:篩選器 單擊“添加”如下:
再次單擊上面的添加,我們來定義將篩選誰到誰(源地址--目的地址)的哪些協議或端口。如下:
在這裏,根據實際情況,我們將篩選:從任意IP的任意端口到這臺機器的6689端口。
單擊兩次確定,回到如下圖,並選中我們剛創建好的這個篩選器。
接着:
第二要素:篩選器操作(即對於剛纔的這個篩選,我們是拒絕/允許/還是加密允許)
單擊上圖中的“篩選器操作”,如下:
上圖中,單擊添加,如下圖所示:再次單擊添加,選擇加密方式後,單擊確定。
最後如下圖所示,你可以單擊“常規”,給這個篩選器操作取個名字,如security.注意要選擇這個操作。不用圖示了吧~~在這裏我們做好這個操作。最後單擊確定,回到前面在要素的界面,繼續我們的第三個要素:
第三要素:身份驗證方法:
這裏有三種驗證方法:
Kerberos(需要AD支持)
證書(需要CA)
預共享密鑰。
我們這裏是域環境,所以我們可以選擇Kerberos這種方式,如果你不是域環境,可以選擇下面兩種,至於證書,你需要在企業裏搭建CA,預共享密鑰比較簡單,取個密鑰就可以了。
在這裏我們選擇第一種方式,至於後面兩種方式,我會在下次給各位道來~~~~~
具體操作如下:
其實,默認選的就是Kerberos驗證方式,所以關於“身份驗證方式”你不用任何操作IPSec已經爲你做好。
最後依次檢查一下這三個要素,沒有任何問題的話,最後單擊“確定”如下圖所示:
上面這條規則就是我們剛纔所做的,最後單擊“確定”,回到下圖:
注意:我們必須右擊這條策略,選指派,否則這條策略是不生效的!!!
這樣,我們就做完了服務器端的配置,如果此時你在客戶端再次連接服務器,客戶端一直在連接,其實在做相應的驗證方法檢驗,發現通過不了,最後彈出連接不上,如下所示:
2.客戶端配置IPSec:
其實操作如法炮製,注意要和服務器選擇的加密和身份驗證方法一樣。最後也把它啓用,就OK了。
當然在規則的篩選器上你要注意變通一下,如下所示:
好了,終於做完了,馬上在客戶端利用命令mstsc /v:n1:6689連接一下,OK,成功了!!!!!!
三、比較普通的遠程桌面和安全的遠程桌面的區別:
我們利用“網絡監視器”來前後抓包看一下究竟,如上下兩副圖的區別:
上面這幅圖其實就是普通的連接,協議顯示的是TCP,並用端口及內容看得很清楚!
這副圖,是利用IPSec之後的連接,各位可以看到,協議顯示的是ESP(加密的),內容等都看不到了。
總結:通過我們的這一番實驗,各位差不多應該已經學會了怎麼使你的遠程桌面變得更安全!!
轉載自:http://blog.csdn.net/dingyuan741/article/details/7164442