四、 远程终端服务安全设置及其防范对策

　　在网络安全中，只有相对的主动安全，没有绝对的安全，本文主要针对Windows中的远程终端服务的安全进行讨论，对于与远程终端服务安全无关的内容在此不进行赘述，对于提供远程终端服务的计算机来说，可以参考以下安全设置，并根据实际情况进行相应调整。

　　1．及时更新系统安全补丁。
　　对于安装远程终端服务的计算机，在新漏洞出现，尤其是在远程提升权限漏洞方面最容易出现安全问题，极易受到攻击，因此除了系统安装完成后，立即更新系统目前所有漏洞的补丁外，还建议启动系统的自动更新功能。一旦出现新漏洞的补丁程序，立即进行更新，在安全更新后需要对系统做一次彻底的安全检查，以确保系统安全。

　　2．严格安全日志检查和远程终端服务登录日志检查
　　系统中应当建立3389登陆日记记录，并定期严格检查系统安全日志和远程终端登录日志。

　　3.远程终端服务应用程序共享安全规则[4]
　　（1）一个应用程序对应一台远程终端服务器。
　　（2）不要允许远程控制，只允许执行应用程序，最好是只执行一个应用程序。
　　（3）当多个服务器使用远程终端服务器来提供应用程序共享时，可将所有的远程终端服务器放入一个单一的OU来应用安全策略。

　　4．使用第三方远程终端安全管理软件2XSecureRDP[5]
　　2XSecureRDP是由欧洲的2X公司开发的一种免费远程终端连接安全管理工具软件（图2），该软件可以有效地保护远程用户，可以根据情况来选择以何种方式对RDP进行检验，比如按照IP设置、客户端名称、日期时间或者企业所选择的其它标准来进行检验。该软件只允许符合过滤条件的用户进行登录，能够很好的保护运行有终端服务的计算机的安全。

　　图2 远程终端服务安全管理软件2XSecureRDP

　　5．自动记录远程终端登录日志

　　由于运行远程终端服务的计算机无法对IP地址进行限制，从管理的角度需要进行日志记录，方法是建立一个名称为TSLog.bat文件，用来记录登录者的ip等相关信息[3]，脚本内容如下：
　　time /t>>TSLog.log
　　netstat -n -p tcp |find ":3389">>TSLog.log
　　start Explorer
　　在终端服务配置中，需要覆盖用户的登陆脚本设置并指定为用户登录时需要打开的脚本文件TSLog.bat，以使每个用户登录后都必须执行该脚本文件。

　　6．推荐的远程终端服务器设置
　　表1 远程终端服务器设置

　　7．使用应用程序安全工具来限制应用程序访问[6]
　　可以安装“Windows 2000 Server Resource Kit”中“计算机管理工具”，然后运行该工具中“应用安全”来严格限制应用程序的访问，其运行效果如图3所示。

　　图 3 授权访问应用程序列表