使用IP策略阻止3389非法访问(图)

2000的终端服务是一个无论在速度还是在易操作性上都是非常出色的远程管理,也是因为它的这些优点,基于对它默认使用的3389端口的攻击和扫描,是愈来愈多,非法入侵者通过3389进入后,会完全控制您的主机,或是利用此主机作为远程转移攻击平台,给您给别人都带来了不小的麻烦.

我们大家现在都已经认识到这一点,开始着手3389的安全防护,比如:给系统装上最新的SP,删除系统输入法帮助,更改默认的3389端口,将终端服务RDP协议绑定在需要连接的介面卡上等等方法,但这些也会有不足的地方,能否可以进一步的保证3389的安全性呢?回答是肯定的.我们可以使用2000的IP安全策略来加强3389的防护.

思路是这样:我们在主机过滤大部分远程连接本地3389端口的TCP请求,仅仅允许通过我们指定的授权IP连接(管理员所使用的工作站地址),下面我们来看看如何实现.(我第一次使用时,感觉挺复杂的,呵呵~ 我笨,但了解后就感觉好了,希望您第一次要耐着性子尝试一下,对以后在安全管理系统
上会有帮助!)

首先,打开"管理工具"中的"本地安全策略",在"IP安全策略"选项上点击右键,
如图1:

选择"创建IP安全策略",会弹出向导窗口,单击下一步,
在弹出的窗口中,输入此策略的名称,比如这里我们键入"3389过滤"
再单击下一步,以后全部默认下一步,其中有一个警告,单击"是"即可
这样就完成新策略的添加.
如图2:

点击确定后,回到图1界面,选择"管理IP筛选器操作",弹出窗口,
如图3

我们先要建立一个筛选器,单击"添加",弹出窗口,在筛选器名称里填入"3389筛选器1",
再单击旁边的"添加",会弹出向导窗口,单击"下一步",会出现源地址选项,(你可以按照自己
的需要选择),在这里我们选择"任何IP地址",单击下一步,在目的地址中选择"我的IP地址",
再单击下一步,选择IP协议,这里我们选择TCP,单击下一步,会出现端口选择,
如图4:

我们设置从任何端口到本机的3389端口.单击下一步.就完成了筛选器的建立.
如图5:

接着回到图3界面,单击"管理筛选器操作"页栏,单击"添加",
会弹出筛选器操作向导,单击"下一步",取名为"阻止3389",单击下一步,
在选择操作页面中选择"阻止",单击"下一步",就完成了筛选器的建立.
如图6:

好了! 我们建立了筛选器和筛选器操作,现在就要建立IP安全规则了.
(***)在图1界面中,双击我们刚刚建立的"3389过滤"策略,弹出策略属性窗口,然后单击"添加"
弹出向导,单击"下一步",一直单击下一步,其中一个选择"是",直到这里,
如图7:

这时,我们要选择我们刚才建立的"3389筛选器1",然后再单击下一步.如图8:
(大家注意到没有,傍边的"添加""编辑"等按钮,其实我们可以在此向导中就可以一次完成建立筛选器及
筛选器操作等工作)
图8

我们选择建立的"阻止3389"的操作,单击"下一步",就完成了安全规则的建立.

现在我们就已经有了一个基于在3389端口阻止所有IP连接的安全策略了.
现在,你在图1的界面上,在"3389过滤"策略上单击右键,再单击"指派",
这样,系统就开始应用安全策略了.所有连接3389的TCP请求都将被阻止.

现在所有的连接都被阻止了,管理员如何连接呢? 别急我们再来建立一个允许管理员登陆的
策略.

我们回到图3的界面,重复建立筛选器的步骤,建立一个名为"3389筛选器2"的筛选器,
别的设置和"3389筛选器1"的一样,只是在选择源地址时要选择"一个特定的IP地址",这里比如
我的管理员工作站IP是192.168.0.2,如图9:

然后再重复建立筛选器操作的步骤,建立一个名为"允许3389"的操作,和上面不同的是在
选择动作时使用"许可".

再回到上面的(***)的地方,重复建立规则的步骤,用"3389筛选器2"和"允许3389"建立一个
新的规则,完成后在策略"3389过滤"属性中显示如下:
如图10:

至此,我们已经完成了在3389端口上的IP策略!
此时,只有来自192.168.0.2的IP地址将被许可连接,其他的IP地址通讯都将被阻塞.
(IP策略需要指派后才可生效,不需要重起,在更改设置时也不用停止后再指派.指派相应
的IP策略后,此IP策略名上有个小绿点)

**********************************************
关于动态IP连接的问题

对于拨号上网或动态IP地址的管理员,我想应该可以在允许连接源地址中选择"一个特定的子网"
来实现.我没有环境,所以测试不了.只有猜了.见谅!

另外,是不是可以尝试使用一下第三方工具,如winrouter.设置它关掉任何对3389的连接,当管理员
需要连接3389时,使用本地winrouter远程控制服务器winrouter打开对自己当前IP的允许连接,就可以上
3389了.管理完毕后,再将3389关掉,也可以从一定程度上加强系统安全.