阅读提示： 7、3389终端服务器的安全配置：

在本文第二节中，我们已经介绍了在Windows组件向导里安装3389终端服务器的方法，我们只须在Windows组件向导里勾选终端服务就可以使用终端服务远程管理服务器了。相信大家都玩过了3389的肉鸡，网络上大部份被黑客入侵的空口令肉鸡因为开放了3389终端远程管理服务，而被黑客不费吹灰之力就能取得远程管理权。

因为黑客们都是使用如 X-scan 等漏洞扫描软件，只要黑客扫描3389端口的机器，你的终端服务器就会暴露在黑客的眼前，那就对你的服务器存在一定的危险性。3389终端远程管理服务默认的情况下是开放3389端口的，只要我们终端服务默认开放的端口号改一下，那么黑客就很难猜测我们的服务器是否开放终端服务了。

修改终端服务器端口号是通过修改Windows2003的注册表来实现的，我们只要修改注册表中的其中一项键值即可。点击“开始菜单→运行”在运行里输入 REGEDIT 命令，启动注册表编辑器，然后打开如下键值： [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\

    找到如下键名 PortNumber ，双击打开修改键值，然后选择“十进制(D)”，将原来的3389端口号改为你想更换的端口号，本例中我们把端口改为7890，如下图（图12）所示：

在端口号修改完毕后，我们重新启动计算机使修改的端口号生效，这样别人就没法使用3389端口连接你的服务器了，重启完成后，我们以后如想连接终端服务器，可打开终端服务客户端软件，然后在计算机(C)的右栏中输入你服务器的IP地址及端口号即可登陆你的终端服务器，假设我们的服务器IP地址为 192.168.0.8 ，那么我们只要在输入框中输入如下地址即可登陆终端服务器“192.168.0.8:7890 ”其中IP与端口号用“:”分隔开。如下图（图13）所示：

（图13）

当登陆成功后，会出现以下成功登陆窗口，如图（图14）所示：

（图14）

    至此终端服务器端口修改成功。

8、用IE远程管理服务器：

黑防在上期杂志上刊登了Win2003的Web安全远程管理一文，以下作一些补充，详细安装远程WEB管理过程及基本功能请看上期黑防杂志《Win2003的Web安全远程管理》。在这里我们需要补充的是基于WEB管理中的终端服务，就是说我们可以通过任何一台客户机的IE浏览器直接进行远程桌面连接，而不再依赖任何的终端服务客户端工具登陆Win2003的终端服务了。

现在假设我们客户机使用的是Win98系统，服务器的IP地址这 192.168.0.8 ，我们可在IE地址栏中输入地址：“ http://192.168.0.8:8089 ”，其中8089是远程管理的 Web 界面下的SSL端口，然后输入管理员的用户名和密码并回车即可登陆Web远程管理界面。在打开的“服务管理”界面中，点击“维护”再点击“远程桌面”按钮，就会弹出一个远程桌面管理维护的终端窗口，现在就可以连接到远程服务器的桌面了。在该窗口中，你只要输入管理员的用户名及密码，就能成功登陆远程桌面，就像你登陆3389终端服务一样。如上图（图14）所示。

无论是3389终端服务还是WEB远程桌面管理，都是只能允许同时两个连接会话，如果已经有两个以上会话在进行，则新用户将被拒绝进行远程桌面管理登陆。必须要等正在登陆的原来两个用户其中一个退出登陆会话后，你才能登陆服务器远程桌面进行管理。

9、FTP服务器配置：

在本文第二节中，我们已经介绍了在Windows组件向导里安装FTP服务器的方法，现在我们开始使用Win2003系统自带的FTP服务架设一台安全的FTP服务器。

步骤1、为FTP服务器建立一个安全的专用FTP帐号：

点击“开始菜单→管理工具→计算机管理”，这里弹出一个计算机管理窗口，我们在里面建立一个供FTP客户端登陆的帐号，双击左栏中的“本地用户和组”然后在右栏中点击鼠标右键，选择“新建”命令，就会弹出一个新用户建立窗口，现在我们建立一个用户，在这里我们建立一个用户名为 cnhack 的帐号，密码为chinanetpk ，并去除“用户下次登陆时须更改密码”的选项，勾选“用户不能更改密码”及“密码永不过期”选项。然后点击“创建”按钮，就创建了一个用户名为 cnhack 的用户。如下图（图15）所示：

（图15）

为了服务器安装着想，我们还须进行如下安全设置，在默认的情况下，我们建立的用户帐号为 Users 组用户，虽然普通用户组对服务器安全影响不大，但我们还是把这个用户所属的 Users 组删除，把刚建立的 cnhack 用户添加到 Guests 用户组，步骤如下：

右击右栏中刚才建立的普通用户 cnhack ，出现一个菜单，选择属性，这时会弹出别一个窗口cnhack 属性窗口，选择“隶属于”标签，这时我们会看到cnhack 用户隶属于Users组，我们选择下栏中的Users组名称，并选择“删除”按钮，这里cnhack用户原来的隶属组被删除，我们再点击下栏中的“添加”按钮，这时弹出一个“选择组”窗口，选择“高级”按钮，再点击“立即查找”按钮，这时我们会看到一个“Guests”用户组名，双击“Guests”用户组名称后返回选择组窗口，点击“确定”按钮退出。这样我们就把刚建立的 cnhack 用户添加进了Guests 用户组，并把原 cnhack 隶属的用户组删除了。基本配置方法如下图（图16）所示：

（图16）

为了服务器安装着想，我们还应在“cnhack属性”栏里选择远程控制标签，把“启用远程控制”的勾去掉。这里一个安全的FTP帐号建立成功。如下图（图17）所示：

（图17）

本例中，我们在D盘建立一个文件夹，并重命名该文件夹文件名为 cnhack ，然后在该文件夹图标处点击右键，出现一菜单，选择“属性”，这里弹出一个属性对话框，在“ cnhack 属性”中选择“安全”标签，点击右下方的“高级”选项，并去除勾选“允许父项的继承权限传播到该对像和所有对像，包括那些在此明确定定义的项目(A)”。如下图（图18）所示：

（图18）

然后点击确定按钮，返回cnhack属性的“安全”标签，在这里会看到还剩下一个超级管理员组 Administrators 成员可以管理cnhack 文件夹，我们再勾选允许超级管理员组成员允许完全控制该文件夹，这样就给了我们管理员组对cnhack文件夹的完全控制权，现在我们再给我们刚才建立的 cnhack 用户管理权限，我们点击”添加”按钮，根据提示把 cnhack 帐号添加成为 cnhack 文件夹的管理员，然后再勾选允许cnhack 帐号完全管理该文件夹，这样就给了 cnhack 帐号对该文件夹的完全管理权。如下图（图19所示）：

（图19）

现在D:\cnhack 文件夹只允许超级管理员组Administrators 成员和帐号为 cnhack 的来宾组成员进行管理与访问了，其它帐户的帐号将不能对 cnhack 文件夹有任何的访问权及修改权限。

步骤2、使用Internet 信息服务(IIS)管理器建立一个安全的FTP空间：

现在我们打开“开始菜单”→“程序”→“管理工具”→“Internet 信息服务(IIS)管理器”，弹出一个IIS管理器窗口，在里面找到“FTP站点” →“默认 FTP 站点”，并在“默认 FTP 站点”里点击鼠标右键，选择“属性”选择，出现一个“默认 FTP 站点属性”对话框，选择“主目录”标签，把原来默认的地址改为我们刚才建立的文件夹D:\cnhack 的路径，下面会有三个选项，分别是、“读取、写入、记录访问”，你可以根据需要勾选，如果中介提供给别人下载的FTP空间，则不要勾选写入选项，如果需要提供给别人上传及更改FTP空间内容的，则需要勾选写入选项。本例中，我们是让朋友可以把数据上传到FTP空间的，所以我们勾选了“写入”选项，如下图（图20）所示：

（图20）

下面我们再来配置使用指定的我们刚才建立的帐号cnhack 才能登陆现在这个FTP空间，我们现在点击“安全帐户”标签，再点击“浏览”按钮，根据提示选择我们刚才建立的cnhack用户名，然后点击确定，这样就指定了这个空间只有使用我们设置的 cnhack 用户帐号才能登陆，记住不要勾选下面的“只允许匿名连接”选项，因为这样将会带来安全问题，如下图（图21）所示：

（图21）

现在我们再来指定该FTP站点的IP地址，我们只要点击“FTP站点”标签，然后在“IP地址（I）”的右栏输入框里输入我们本机的IP地址即可。还有可以在“TCP/IP端口（T）”的右输入框里修改当前FTP站点的TCP/IP端口号，默认情况下是使用21端口的。如下图（图22）所示：

（图22）

这样一个安全的FTP站点就建立成功了。使用IIS6建立的FTP服务器可以使用IE及FTP客户端软件登陆FTP空间。而且功能强大。

您对本文章有什么意见或着疑问吗？请到论坛讨论您的关注和建议是我们前行的参考和动力