1、醫(yī)治“終端安全登錄”之痛
部署終端服務(wù)器后,出于安全考慮我們不希望某些用戶進行遠程登錄到終端服務(wù)器。Server 2003平臺的終端服務(wù)器默認情況下一個用戶可以在兩個客戶端進行遠程登錄。在某些特殊的情況下,我們只希望某個帳戶只能進行一個遠程登錄。以上的兩個應(yīng)用需求是很多管理員遇到并且比較困惑的。下面筆者分別敘述其實現(xiàn)方法。
(1).限制某些用戶登錄終端服務(wù)器,這在Server 2003上是非常容易實現(xiàn)的。在通常情況下,我們的終端服務(wù)使用的都是遠程桌面模式,客戶端通過遠程桌面登錄到終端服務(wù)器。因此我們可以從遠程桌面入手進行用戶登錄的限制,只給一些用戶登錄權(quán)限,對應(yīng)的其他用戶也就沒有權(quán)限了。
右擊“我的電腦”選擇“屬性”打開“系統(tǒng)屬性”窗口,點擊“遠程”選項卡,在“遠程桌面”下勾選“啟用這臺計算機上的遠程桌面”,開啟遠程桌面。然后點擊“選擇遠程用戶”按鈕,然后點擊“添加”按鈕根據(jù)事先指定的策略添加自己授權(quán)的可以進行遠程桌面連接的用戶。比如我們授權(quán)l(xiāng)w用戶,只需在“輸入對象名稱來選擇”下輸入即可,當(dāng)然也可以點擊“高級”按鈕,通過“立即查找”功能添加系統(tǒng)中存在的用戶。(圖1)

默認情況下,administrator用戶擁有登錄權(quán)限的,有時我們?yōu)榱税踩乐?font color="#16387c">攻擊者嘗試用其登錄登錄終端服務(wù)器。那如何禁止administrator遠程登錄終端服務(wù)器呢?最極端的方式是禁用administrator用戶,在命令提示符下輸入命令:net user administrator /active:no即可。還有可以通過組策略為administrator改名(計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→安全選項→帳戶:重命名系統(tǒng)管理員)。筆者推薦的做法是通過組策略取消administrator登錄終端服務(wù)器的權(quán)限,其組策略位置是:計算機配置→Windows設(shè)置→安全設(shè)置→本地策略→用戶權(quán)限分配,雙擊“通過終端服務(wù)允許登錄”,選擇administrators用戶,點擊刪除,然后添加許可的用戶即可。這樣,當(dāng)別人惡意嘗試登錄終端服務(wù)器的時候會彈出如圖的警告,拒絕登錄。(圖2)

(2).要實現(xiàn)一個用戶只能進行一次終端登錄,我們可以通過對終端服務(wù)器的設(shè)置來實現(xiàn),操作步驟是:點擊“開始”,依次定位到“控制面板→管理工具→終端服務(wù)配置”,單擊“服務(wù)器設(shè)置”在詳細信息窗格中,右鍵單擊“限制每個用戶使用一個會話”,然后單擊“屬性”。勾選“限制每個用戶使用一個會話”復(fù)選框,然后單擊“確定”即可。(圖3)

2、醫(yī)治“超出最大允許連接數(shù)”之痛
通常情況下,企業(yè)中有多個管理員,他們都有權(quán)限可以登錄到終端服務(wù)器。默認情況下,administrator的遠程桌面連接數(shù)2個。如果此時正好有兩個管理員遠程桌面連接到終端服務(wù)器,那么第三個管理員就不能登陸,會提示“終端服務(wù)器超出了最大允許連接數(shù)”,無法進行登錄。(圖4)

另外,某些管理員遠程登錄結(jié)束后不是按照常規(guī)做法從終端服務(wù)器中注銷用戶,而是直接端口連接。這樣的話,雖然遠程用戶已經(jīng)斷開了與終端服務(wù)器的遠程桌面連接,但是session(會話)還停留在服務(wù)器端,也會有上面的提示造成無法登錄。
對于這一問題就筆者所知有四種解決辦法:
(1).本地登錄(控制臺登錄)到終端服務(wù)器,遠程登錄的用戶會自動被注銷。如果還有用戶沒有注銷,可以在打開“任務(wù)管理器”,點擊“用戶”標簽然后選擇遠程登的用戶點擊右鍵選擇“注銷”即可。(圖5)
#p#副標題#e#
(2).如果終端服務(wù)器開啟了telnet服務(wù),我們可以telnet到終端服務(wù)器,然后通過命令注銷(踢出)用戶。首先輸入命令“query user”查看當(dāng)前的登錄,然后選擇相應(yīng)的用戶通過命令logoff ID來注銷該用戶。其中ID是系統(tǒng)分配給用戶的標識,它是唯一的。比如我們輸入logoff 2,就注銷了ID為2的用戶的遠程登錄,那么其他用戶就可以登錄了。(圖6)

(3).限制已經(jīng)斷開連接的session存在的時間,當(dāng)超過時間后會自動進行注銷,其原理是修改終端服務(wù)器配置來實現(xiàn)的。操作步驟是:
第一步:點擊“開始”,依次定位到“控制面板→管理工具→終端服務(wù)配置”,在“終端服務(wù)配置”
窗口,點擊左側(cè)的“連接”然后雙擊窗格右側(cè)的“RDP-Tcp”打開其屬性設(shè)置對話框。(圖7)

第二步:點擊“會話”標簽,勾選“替代用戶設(shè)置”激活下面的選項,然后在“結(jié)束已斷開的會話”后面的下拉列表中選擇一個時間,比如我們選擇30分鐘。這樣當(dāng)斷開連接30分鐘內(nèi)沒有再次連接的話,系統(tǒng)就會技術(shù)這個session(會話)。(圖8)

第三步:點擊“網(wǎng)卡”標簽,修改“最多連接數(shù)”,默認是2,大家可以根據(jù)自己的需要進行修改。不過,數(shù)字不宜過大,否則會占用終端服務(wù)器的系統(tǒng)資源。
(4).上面的三個方法可以解決問題,但筆者認為最徹底的解決方案是增加終端服務(wù)器的連接數(shù),我們通過組策略來實現(xiàn),操作步驟是:
第一步:點擊“開始→運行”,輸入gpedit.msc打開組策略編輯器,依次展開“計算機配置→管理模板→Windows 組件→終端服務(wù)”,雙擊右邊的“限制連接數(shù)量”,點選“已啟用”,在“TS 允許的最大連接數(shù)”后面根據(jù)自己的需要輸入一個連接數(shù)。
第二步:點擊左側(cè)的“會話”,然后雙擊右側(cè)的“為斷開的會話設(shè)置時間限制”,點選“已啟用”,在“結(jié)束斷開連接的會話”后的下拉列表中選擇一個時間,比如我們選擇“30分鐘”。(圖9)

3、醫(yī)治“終端服務(wù)授權(quán)”之痛
用windows server 2003做服務(wù)器的人都知道其安全性能比以前的windows版本高出很多,但是也帶來很多麻煩,其中終端授權(quán)就是一例。在Server 2003中服務(wù)器最重要的遠程管理“終端服務(wù)”居然要求授權(quán),要許可證,否則120天過期需要購買授權(quán)。這是讓管理員們非常郁悶的事情,其實這個問題可以得到很好的解決。我們通過如下的操作即可解除該認證限制。
在Server 2003上首先開啟終端服務(wù),然后依次執(zhí)行“控制面板→添加刪除程序→添加/刪除windows組件”,在“Windows組件向?qū)?rdquo;窗口的“組件”下取消對“終端服務(wù)器”和“終端服務(wù)器授權(quán)”的勾選,然后點擊“下一步”刪除這兩個系統(tǒng)組件。在刪除完成后,系統(tǒng)會提示會提示我們重新啟動計算機,這時候千萬不要重啟一定要點“否”,否則我們的操作就前功盡棄了。(圖10)

然后點擊右鍵點擊“我的電腦”選擇“屬性”,依次點擊定位到“遠程→遠程桌面” ,勾選“啟用這臺計算機上的遠程桌面”,之后會得到提示,不用理它點擊“確定”應(yīng)用即可?,F(xiàn)在,重新啟動計算機大功告成,不用任何第三方破解軟件輕松破解了Windows 2003的終端服務(wù)器許可。
總結(jié):終端服務(wù)在當(dāng)前的某些行業(yè)中仍然發(fā)揮著巨大的作用,有著廣泛的用途。其實,何止這些,在企業(yè)環(huán)境中我們也可以通過終端服務(wù)器實現(xiàn)某些特殊的應(yīng)用。讓我們繼續(xù)深入挖掘,使其更好地為我們服務(wù)。


