Windows 2000 的終端服務由于使用簡單、方便等特點，備受眾多管理員喜愛，很多管理員都利用它進行遠程管理服務器的一個重要工。然后就是因為它的簡單、方便，不與當前用戶產生一個交互式登陸，可以在后臺登陸操作，它也受到了黑客關注。現在我們來通過認真的配置來加強它的安全性。

1。修改終端服務的端口

修改注冊表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

將這兩個分支下的portnumber鍵值改為你想要的端口。

在客戶端這樣連接就可以了.

2。隱藏登陸的用戶名
隱藏上次登陸的用戶名，這樣可防止惡意攻擊者獲得系統的管理用戶名后進行窮舉破解。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DontDisplayLastUserName 的值改為1就可以了。

3。指定用戶登陸。
為了安全，我們沒必要讓服務器上所有用戶都登陸，譬如以下，我們只允許315safe這個用戶登陸到終端服務器，按照如下方法做限制：

在“管理工具”---“終端服務配置”---“連接”，再選擇右邊的“RDP-TCP”的屬性，找到“權限”選項，刪除administrators組，然后再添加我們允許的315safe這個用戶，其他一律不允許登陸。

4、啟動審核

“終端服務”默認沒有日志記錄，需要手動開啟，在RDP-TCP”的屬性，找到“權限”選項下“高級”里有個“審核”添加everyone，然后選擇需要記錄的的事件。

“事件查看器”里終端服務日志很不完善。下面我們就來完善一下終端服務器日志。

在D盤目錄下，創建2個文件“ts2000.BAT”（用戶登錄時運行的腳本文件）和“ts2000.LOG”（日志文件）。

編寫“ts2000.BAT”腳本文件：

time /t >>ts2000.log
netstat -n -p tcp | find ″:3389″>>ts2000.log
start Explorer

第一行代碼用于記錄用戶登錄的時間，“time /t”的意思是返回系統時間，使用追加符號“>>”把這個時間記入“ts2000.LOG”作為日志的時間字段；第二行代碼記錄終端用戶的IP地址，“netstat”是用來顯示當前網絡連接狀況的命令，“-n”用于顯示IP和端口，“-p tcp”顯示TCP協議，管道符號“|”會將“netstat”命令的結果輸出給“find”命令，再從輸出結果中查找包含“?3389”的行，最后把這個結果重定向到日志文件“ts2000.LOG”；最后一行為啟動Explorer的命令。

把“ts2000.BAT”設置成用戶的登錄腳本。在終端服務器上，進入“RDP-Tcp屬性”窗口，并切換到“環境”框，勾選“替代用戶配置文件和遠程桌面連接或終端服務客戶端的設置”，在“程序路徑和文件名”欄中輸入“D：\ts2000.bat”，在“開始位置”欄中輸入“D：\”，點擊“確定”即可完成設置。此時，我們就可通過終端服務日志了解到每個用戶的行蹤了。

5。限制、指定連接終端的地址

啟用服務器自帶的IPSEC來指定特定的IP地址連接服務器。
首先禁止所有3389的連接。

1。在“本地安全策略”選擇“IP安全策略，在本地機器”，在右邊的空白處按右鍵，“創建IP安全策略”，下一步，給策略取名（如3389），不選“激活默認響應規則”，完成，這是會打開一個對話框，是新建立策略（3389）的屬性。
2。添加新建規則，出現“IP篩選器列表”，起名叫all_3389，不選“使用添加向導”再按“添加”。按“確定”、“關閉”回到“新規則”屬性窗口，選中剛設置的規則“all_3389”,再按“篩選器操作”選項，“篩選器操作”里沒有我們的“阻止”我們新建立一項阻止。還是不選“使用添加向導”，按“添加”，在彈出的對話框中，在“安全措施”處選“阻止”項。

再按“常規”，在“名稱”處給他起個名字，如”阻止3389“，然后確定回到”新規則“屬性的”篩選器操作”處，選中剛才建立的“阻止3389”，再按“關閉”，回到開始時的“本地安全設置”對話框，選中“3389”后指派。這樣所有的機器都無法連接到我們終端服務器了。

3。同樣服務器也被欄在外面了，下面我們建立一條規則，只允許服務器信任的機器進行連接，譬如219.139.240.90 .我們打開“3389”的屬性，不選“使用添加向導”，按“添加”，打開“新規則”屬性，再按“添加”，出現“IP篩選器列表”，給它起個名字"OK_3389",不選使用添加向導，再按”添加“，出現”篩選器“屬性，”尋址“選項設置成如圖。

協議處設置TCP，3389，在”篩選器操作“里選擇”允許“。這樣就OK了，這樣除了我們自己信任的機器，其他任何機器都無法登陸到終端服務器了。也可以設置為一個網關的信任機器。這樣終端服務器就安全多了。