如何修改改3389端口、如何修改遠程管理端口

發(fā)布時間:2008/6/8 15:21:00
如何更改3389端口、手工修改遠程管理端口
微軟的win2000服務(wù)器版中帶了一個終端服務(wù)Terminal Service,這個服務(wù)基于遠程桌面協(xié)議RDP,他的速度非?,也很穩(wěn)定,是一個比較好的遠程管理軟件,不過這個終端服務(wù)有幾個不方便的地方: 
第一是沒有改端口的地方,終端服務(wù)只能使用默認得3389端口。對于一個謹慎地管理員來說,服務(wù)器開著3389端口,隨便哪個人都能上去試試密碼;再加上前些時候微軟輸入法的漏洞,不需密碼就是System權(quán)限。第二是沒有完善的功能日志,這樣什么人什么時候連結(jié)上都不知道。 


其實這兩個問題都可以非常容易的解決: 
對于端口問題,微軟提供了一個方法允許用戶自己更改服務(wù)器端和客戶端的端口: 微軟的原文在:http://support.microsoft.com/suppor...s/Q187/6/23.ASP 
上面這個連接是英文的。如果愿意,可自己看。^_^ 


1、第一步,更改終端服務(wù)的服務(wù)器端設(shè)置。 
打開注冊表,找到類似這樣的鍵值HKEY_LOCAL_MACHINE//System//CurrentControlSet//Control//Terminal Server//Wds//Repwd//Tds//Tcp, 看到那個PortNumber沒有?0xd3d,這個是16進制,就是3389啦,我改...這個值是RDP(遠程桌面協(xié)議)的默認值,也就是說用來配置以后新建的RDP服務(wù)的,要改已經(jīng)建立的RDP服務(wù),我們?nèi)ハ乱粋鍵值: 
HKEY_LOCAL_MACHINE//SYSTEM//CurrentControlSet//Control//TerminalServer//WinStations這里應(yīng)該有一個或多個類似RDP-TCP的子健(取決于你建立了多少個RDP服務(wù)),一樣改掉PortNumber。 (轉(zhuǎn)者注:在這里可以在HKEY_LOCAL_MACHINE下面通過搜索3389來找到所有的portnumber項)


2、第二步,改客戶端。 
服務(wù)端改了端口而客戶端端口沒有改變,我們豈不是白瞪眼?再來改客戶端:打開客戶端連接管理器,按照正常的步驟建立一個客戶端連接的快捷方式,選中這個連接,然后在“文件”菜單里選擇“導(dǎo)出”(Menu->File->Export),這個操作會生成一個cns文件,就是終端服務(wù)客戶端的配置文件,你可以用文本編輯器(比如記事本)編輯這個文件,找到“Server Port=3389”,改成你要的端口,然后再選導(dǎo)入(Menu->File->Import),這是的客戶端快捷方式已經(jīng)變成你需要的端口了。 


需要主義的是,從微軟主頁上下載的終端服務(wù)客戶端Terminal Service Client(MSI版)以及ActiveX版都不能更改端口,只有使用Win2000服務(wù)器版終端服務(wù)自帶的“制作安裝盤”功能制作版本可以改端口,這個功能在管理工具的“終端服務(wù)客戶端生成器”(Terminal Service Client Creator)中。 


對于日志的問題,其實Terminal Service自己是有日志功能的,在管理工具中打開遠程控制服務(wù)配置(Terminal Service Configration),點擊“連接”,右擊你想配置的RDP服務(wù)(比如RDP-TCP(Microsoft RDP5.0)),選中書簽“權(quán)限”,點擊左下角的“高級”,看見上面那個“審核”了嗎?我們來加入一個Everyone組,這代表所有的用戶,然后審核他的“連接”、“斷開”、“注銷”的成功和“登陸”的功能和失敗就足夠了,審核太多了反而不好,這個審核試記錄在安全日志中的,可以從“管理工具”->“日志查看器”中查看。 
現(xiàn)在什么人什么時候登陸都一清二楚了,可是它卻不記錄客戶端的IP(只能查看在線用戶的ip)而是記錄計算機名,要是別人起個PIG的機器名你只好受他嘲弄了。我們來自己寫個程序,一切搞定,你會c么?反正我不會,vb呢?我也不會^_^,Delphi??我還是不會^_^,別急,如果你和我一樣,還有一個辦法,我們建立一個.bat文件,叫做TSLog.bat,這個文件用來記錄登錄者的ip,內(nèi)容如下: 
time /t>>TSLog.log 
netstat -n -p tcp|find ":3389">>TSLog.log 
start Explorer 
我來解釋一下這個文件的含義: 
第一行是記錄用戶登陸的時間,Time/t的意思是直接返回系統(tǒng)時間(如果不加/t,系統(tǒng)會等待你輸入新的時間),然后我們用追加符號 


>>把這個時間記入TSLog.log 
第二行是記錄用戶的ip地址,Netstat是用來顯示當前網(wǎng)絡(luò)連接狀況的命令,-n表示顯示ip和端口而不是域名、協(xié)議,-p tcp是只顯示tcp協(xié)議,然后我們用管道符號“|”把這個命令的結(jié)果輸出給Find命令,從輸出結(jié)果中查找包含“:3389”的行(這就是我們要得客戶的ip所在行,如果你改了終端服務(wù)的端口,這個數(shù)值也要作相應(yīng)的改變),最后我們同樣把這個結(jié)果重定向到日志文件TSLog.log中去,于是在TSLog.log文件中,記錄格式如下: 
22:40 
TCP 192.168.12.28:3389 192.168.10.123:4903ESTABLISHED 
22:54 
TCP 192.168.12.28:3389 192.168.12.29:1039ESTABLISHED 
也就是說只要這個TSLog.bat文件一運行,所有連在3389端口的ip都會被記錄,那么如何讓這個批處理文件運行呢?我們知道終端服務(wù)允許我們?yōu)橛脩糇远x起始的程序,在終端服務(wù)配置中,我們覆蓋用戶的登陸腳本設(shè)置并指定TSLog.bat為用戶登錄時需要打開的腳本,這樣每個用戶登錄后都必須執(zhí)行這個腳本,因為默認得腳本(相當于SHELL環(huán)境)是Explorer(資源管理器),所以我在TSLog.bat的最后一行加上了啟動Explorer的命令start Explorer,如果不加這一行命令,用戶是沒有辦法進入桌面的。當然,如果你只需要給用戶特定的SHELL:例如cmd.exe或者word.exe你也可以把start explorer替換成任意的SHELL。


這個腳本也可以有其他的寫法,例如寫一個腳本把每個登陸用戶的ip發(fā)送到自己的信箱對于很重要的服務(wù)器也是一個很好的方法。 
正常情況下,一般的用戶沒有查看終端服務(wù)設(shè)置的權(quán)限,所以他不會知道你對登陸進行了ip審核,只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了,不過需要注意的是這只是一個簡單的終端服務(wù)日志攻略,并沒有太多的安全保障措施和權(quán)限機制,如果服務(wù)器有更高的安全要求,那還是需要通過編程后購買入侵檢測 軟件來完成。


Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照