玩转Windows的“官方后门”—终端服务攻防

终端服务是在Windows NT首先引入的新服务。它使用RDP协议(远程桌面协议)客户端连接，使用终端服务用户可以在远程以图形界面方式访问服务器，并且能轻松调用服务器中的应用程序、组件、服务等，和操作本机系统一样。
终端服务一个非常非凡的服务，正是由于它的非凡性，使得它不仅方便了我们，同时也成为了黑客们的最爱，所以很多朋友戏称它为Windows的“官方后门”。由于现在使用Windows XP的朋友越来越多，其中深受大家喜欢的“远程协助”、“远程桌面”其实本质就是终端服务，因此关于它的安全也受到很多人关注。这篇文章，笔者将结合终端服务中各种攻防的方法和思路，为大家具体介绍终端服务安全问题，其中终端服务器表示远程被控制的电脑。
1.终端服务用户账户密码要设置安全
首先终端服务最大的一个安全隐患在于用户账号安全。假如服务器装有终端服务，那么一定要治理好用户密码的安全。避免终端服务器中出现弱口令，尤其注重，要为Administrator用户设置一个强大的密码。假如现在你的用户密码还是为空，或使用12345等这样的弱口令（密码），那么服务器被黑客攻击只是时间的问题。
2.修改终端服务的默认端口
为了保证终端服务器不被黑客非法利用，可以使用修改终端服务默认端口的方法来达到增加安全的目的。终端服务使用的默认端口是TCP3389端口，而通过修改注册表就可以轻松地更换终端服务的默认端口。具体配置方法如下:
在“注册表编辑器”中，找到[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\TerminalServer\Wds \rdpwd\Tds\tcp]，在右侧窗格双击“PortNumber”，选择“十进制”状态，这样就能看到终端的默认端口3389(见图1)，接着可以根据个人情况进行修改，比如1025端口。

修改完成后，授权的远程用户如何连接到你的电脑呢？其实方法非常简单，远程用户只需要打开终端客户端，填入IP地址，并在地址后面加上一个冒号(见图2)，再填入修改以后的端口，即可连接上。

修改终端服务的默认端口，能在一定程度上加强终端服务器的安全性。相反，黑客可以利用修改终端服务的默认端口，达到隐藏自己入侵痕迹的目的。
3.查找终端服务中的可疑用户
使用终端服务的很多用户可能会问一个问题，假如黑客通过终端服务连接上了我们的电脑，如何查看呢？方法很简单，点击“开始→运行”，输入“cmd”回车后打开命令提示符窗口。在其中键入“query user”(意为查询用户，也可以简写为quser)便可以查看当前终端服务器中的用户会话(见图3)。

4.黑客应对治理员的思路和方法
使用前面介绍的方法来查看可疑连接，使得大多数黑客都逃不出我们的“火眼金睛”，那么黑客就没有在终端服务中的生存空间了吗？很快黑客们想出了一个巧妙方法，在连接上你的电脑后，编辑如下一段批处理文件并放到你的电脑上:
:begin
query user| find "console"
if errorlevel 1 logoff 1&&logoff 2
goto begin
这段批处理的意思非常简单，假如query user(即quser)出现console字样，马上切断ID1和ID2的用户会话。如此巧妙的一个思路，使得黑客可以在治理员的眼皮下“溜掉”，这样使得你以为自己的电脑非常的安全，而其实早已经被黑客所控制。
5.在命令模式下开启终端服务
一些黑客，在使用其他方法拿到一台系统的CmdShell(指得到了远程系统CMD的控制权)时，假如觉得命令行黑乎乎的界面不利于对这台系统进行治理，他可以利用命令行的方式开启系统中的终端服务。黑客只需要把这段批处理上传到远程系统，然后执行这段批处理。远程系统将会在不弹出任何窗口、不调用任何安装程序的情况下安装开启终端服务。
echo [Components]>C:\backe
echo TSEnable=on >>C:\backe
sysocmgr /I:C:\winnt\inf /u:C:\backe /q /r
但运行完毕后，必须要等待电脑重启，黑客才能连接上。假如一些黑客比较心急，会去掉这段批处理中的“r”参数，那么远程系统在运行完这段批处理以后会自动重启。
使用这种方法安装的终端服务，非常隐蔽，不易被发现。但并不是没有任何破锭，在“任务治理器”中可以发现有“Terminal”进程。既然你自己并没有使用终端服务，那么可以判定一定有黑客入侵了你的电脑系统。
6.使用Windows XP时
Windows XP中的终端服务如何开启呢？Windows XP中的终端服务和Windows 2000中的终端服务有着天壤之别。首先开启Windows XP中的终端服务非常简单，只需右击“我的电脑”，在弹出“系统属性”对话框中选择“远程”，并且勾远“答应用户远程连接到此计算机”项即可。不过Windows XP用户大可不必担心自己的终端服务会被黑客利用。因为Windows XP是客户端操作系统，不支持多用户功能。假如有黑客连接上了你的Windows XP，系统将提示有一个用户连接到系统，并且询问当前用户是否同意他的连接，假如选择不同意，黑客就无法连接上你的终端服务;假如同意，系统当前用户会被强制注销。但当前用户只需要动一下鼠标，黑客又会被“踢掉”。