严格管控远程桌面服务.pdf

●文 ／图 刘景云 远程桌面／终端服务是最常用的远控工具，在实际 Explorer这款小工具 出手相助。在ProcessExplorer 网络管理中应用很广泛。俗话说树大招风。正因为如 左侧选择 “explorer．exe”进程，在其右键菜单中点击 “ 此，远程桌面／终端服务也成了黑客觊觎的对象。一方 properties”项 ，在属性窗El的 “Security”面板中点 面我们需要及时为系统打上各种补丁’设置复杂的登录 击 “Permissions”按钮 ，在权限窗口(如图1)中可以看 密码，而且要定时变更密码；另一方面是尽可能地为远 到，所有预设账户都拥有对该进程的 F“ullControl” 程桌面／终端服务设置各种安全保护措施。对远程登录 (完全控制)权限。原来，“explorer．exe”实际上具有 者的操作权限进行必要的限制，让黑客即使费尽心机 两种状态，存储在硬盘上时的静态和调入 内存运行 登录，也无法对系统造成实质性的危害。 时的动态。上面谈到的权限设置实际上针对静态时的 “ explorer．exe”发挥作用。 一 、 巧设权限，让管理账户掌控特 权桌面 当黑客使用扫描工具探测到目标主机开启了远 程桌面／终端服务后，就会通过各种手段进行渗透，当 其入侵得手后一般会创建非法账户，然后使用该账户 登录远程桌面／终端服务，完成各种破坏操作后扫除 痕迹信息，然后逃遁而去。不管黑客如何狡猾，其登 录之后必然和桌面打交道 ，否则其无法对系统进行有 效控制。从这个角度 发，如果我们为Administrator 账户设置复杂的密码让黑客无法破译，同时只允许 Administrator拥有桌面控制特权 ，让其它任何账户都 无法使用桌面的话，就算黑客入侵系统后，因为无法 操作桌面而对系统无可奈何。 我们知道，桌面掌管程序其实就是系统路径中 的 “explorer．exe”程序。我们首先为Administrator没置 一 个尽可能复杂的密码 ，之后打开C：＼Windows”文件 夹，在 “explorer．exe”的右键菜单中点击 属“l生”项， 在弹出窗口的 “安全”面板中点击 “删除”按钮，删 除 “组或用户名称”栏中的所有组和账户。之后点击 当该程序运行后，其受制动态权限的控制，其 “添加”按钮 ，在 “选择用户或组”窗 口中点击 “高 权限是 由Token访问令牌管控 ，其原理较为复杂，这 级”按钮，接着点击 查“找”按钮，在结果列表中导人 里不进行讨论，感兴趣的朋友可以上网查阅相关资 Administrator账户，注意不是Administrator组。选中添 料。这里谈谈如何更改运行权限。在上述 “Process 加的Administrator账户，在权限列表 中只勾选 读“取” explorer”权限窗 口中取消所有账户针对 “explorer． 和 运“行”项。 exe”的控制权，只保留Administrator账户拥有 “Read” 完成以上操作后，还无法实现封锁~Adminislrator (读取 )权 限。经过这样一番设置后 ，您就会发 - 账户登录对桌面的使用权 为此，需要使用Process 现，当使用t~Administrator账户登录终端服务／远 !羔霹羔 篓土≥螨乏≥ 誓 囊： j委 奠ci