使用终端服务，可以方便快捷地远程管理服务器。但是，如果终端服务配置不当的话，很容易遭到黑客的攻击。因为终端服务默认使用3389端口，黑客使用扫描器可以很容易发现攻击目标。因此，将终端服务端口进行更改，可以有效避开黑客的骚扰。使用3389端口修改器这款小软件，可以毫不费力地完成以上操作。在其主界面中的“端口号”栏输入新的端口号，点击“修改”按钮即可。

图9 开启终端服务审核项目

当黑客探测到开启终端服务的主机后，在登录界面中会发现上次登录的账户名，这对服务器安全很不利，黑客可以据此来破解密码。运行注册表编辑器，打 开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”分支。在右侧窗口中将“DontDisplayLastUserName”项的指修改为1，就可以禁止让系统记录上次登录的账户名。为了安全的需要，没有必要让服务器上的所有账户都拥有登录终端服务的能力，我们可以让一个指定的账户（例如“rdpuser”）自由登录终端服务，其余的账户禁止登录，当然该账户只能属于Administrators组。点击“开始”→“管理工具”→“终端服务”→“终端服务配置”项，在弹出窗口中的“连接”栏中的“RDP-Tcp”项的右键菜单中点击“属性”项，在属性窗口中的“安全”面板中删除“Administrators”组，点击“添加”按钮，将指定的账户添加进来，选中该账户，为其开启完全控制，用户访问，来宾访问等权限。除了SYSTEM账户外，分别选择其它的组，在“拒绝”列中选择所有的项目，拒绝其访问终端服务。

在默认情况下，系统没有对终端服务开启日志记录功能。为了安全起见，及时追踪黑客的活动踪迹，需要手工开启针对终端服务的记录功能。在RDP-TCP属性窗口中的“权限”面板中点击“高级”按钮，在弹出窗口中的“审核”面板（如图9所示）中点击“添加”按钮，之后在审核项目窗口中的“登录”栏中勾选“成功”和“失败”项，在“注销”栏中勾选“成功”项，在“断开”栏中勾选“成功”项。点击确定按钮，保存审核设置信息。

使用记事本编辑一个批处理文件，其内容为：

之后将其保存为“zdfw.bat”文件，该程序可以在使用者登录终端服务器时，记录当时的日期时间信息，还可以将来访者的IP地址记录下来，并将其保存在“3389log.txt”文件中，注意，如果您修改了终端服务端口的话，需要在其中替换默认的3389端口号。在RDP-TCP属性窗口中的“环境”面板中选择“用户登录是启用下列程序”项，在“程序路径和文件名”栏中输 入“C:Windowszdfw.bat”，在“起始于”栏中输入“C:Windows”，假设该文件保存在“C:Windows”目录中。为了安全起见，最好将该文件设置为隐藏状态。

即使更改了终端服务端口，也不能完全排除黑客侵袭的可能。最好的办法是利用系统自带安全策略，只允许指定的IP才可以访问终端服务，而将其余的IP拒之门外。运行“secpol.msc”命令，在本地安全设置窗口左侧的“IP安全策略，在本地计算机”项的右键菜单上点击“创建IP安全策略”项，在向导窗口中点击下一步按钮，设置策略名称（例如“允许特定IP访问终端服务”）和描述信息，在下一步窗口中取消“激活默认响应规则”项的选择状态。

图10 配置协议信息

图11 设置寻址信息

双击刚才创建的IP策略，在弹出窗口中取消“使用添加向导”项的选择状态。点击添加按钮，在弹出窗口中的“IP筛选器列表”面板中点击“添加”按钮，输入本筛选器名称（例如“拒绝任何IP访问终端服务”）和描述信息。点击添加按钮，同样不选择“使用添加向导”项。继续点击添加按钮，在“寻址”面板中的“源地址”列表中选择“任何IP地址”，在“目标地址”列表中选择“我的IP地址”项。在“协议”面板（如图10所示）中的“选择协议类型”列表中选择“TCP”，先选择“从任意端口”项，再选择“到此端口”项，将端口设定为3389（或者修改后的终端服务端口）。之后完成本筛选器创建操作。在“IP筛选器列表”面板选择“拒绝任何IP访问终端服务”筛选器项，在“筛选器操作”面板中点击添加按钮，选择“阻止”项，在“常规”面板中输入其名称，例如“阻止网络访问终端服务”。完成本IP安全策略的创建操作。

之后在“筛选器操作”面板中选择“阻止网络访问终端服务”项，点击确定按钮，返回上述安全策略属性窗口，选择上述“允许特定IP访问终端服务”策略，点击“添加”按钮，按照上述方法创建名为“允许指定IP访问本机终端服务”的筛选器，在其属性窗口中“寻址”面板（如图11所示）中的“源地址”列表中选择“一个特定的IP地址”或者“一个特定的子网”，在“目标地址”列表中选择“我的IP地址”项。并在“筛选器操作”面板中创建新的操作规则，在“安全措施”面板中选择“许可”项，来创建新的筛选器，具体的步骤和上述几乎完全相同，这里不再详述。这样，在“允许特定IP访问终端服务”策略中就包含了两个筛选器，实现了只允许特定IP访问本机终端服务的目的。在该IP策略项的右键菜单上点击“指派”项，就可以激活保护动作，阻止非法用户访问终端服务了。