议题提交：勇敢的风 [E.S.T顾问团] feng.cnblog.com.cn
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

适用：Windows Server 2003 Sp1,Windows XP SP2

前些天由于自己的疏忽大意，致使我的服务器被入侵了，痛苦万分精神近乎崩溃

跟Neeao研究了半天关于限制远程桌面登陆IP的方法最终宣告失败。

昨天无意中发现了win server中自带的防火墙已经具备该功能，不仅可以针对远程桌面，而且可以针对所有来访的IP来作限制。方法如下

1、打开Win自带的防火墙
2、开放允许例外
3、在例外中选择任意一个已经开放例外的选项，双击
4、选中自定义列表，在其中填入允许访问的IP即可

需要注意的是不要启用高级中的相应的功能选项，否则里外中的设定将无效。

碰过几个机器是这样的情况（我连不上`哈哈`）
后来发现了是防火墙的问题，其实2003自带的那个墙确实不错`

en  !是这样的 IPSEC很好用！

控制面板->本地安全策略->IP安全策略->自行添加安全策略
把从外到内的TCP 目标地址3389的都禁止
然后开放几条特定IP的就可以了

附件是我做好的比较完整的IPSEC规则
通过导入可以导入服务器再应用
包括对mail,sql,web,ftp的开放以及对其他协议的屏蔽
注意.ftp需要服务段开放PASV模式并且指定端口再2000~2010

这里我再提供一个免费工具
2X SecureRDP
一个非常好的工具
以前需要注册,现在是免费的了.

http://www.2x.com/securerdp/

用IPSEC
入侵者不是可以通过htran 把端口转出来嘛！

我记得以前国内有个黑客站点的服务器就是这样弄的,但最后还是被我进去了,
当时我记得是用代理反弹,直接把Sockscap加个Terminial Serveice登陆器,然后点登陆器登IP127.0.0.1
这样来源IP也就变成了本机,有份资料说ipsec对源IP不会限制,就是对本机限制不严,从这个方面上讲这又可以突破.
以前黑防上有篇文章介绍Terminial Service防范的,建议楼主看一下,对你会有帮助..

用了windows自带的防火墙可以限制那些程序向外访问，在一定程度上可以限制端口转发

这个方法不错哈~
另外有点建议；可以设置终端的权限，限制帐户登陆~就算你建立了帐户提升为管理员，死都登陆不了~除非把授权登陆的ADMIN帐户密码改掉才行.但是没有哪个入侵者这么傻会改管理员密码吧~
要是服务器权限配置得当的话，根本谈不上建立帐户了，关于服务器安全配置请请教罐头大师，我也不多献丑了~

其实可以在组策略中指定固定的用户登陆远程桌面，而不要直接指定用户组

引用:

这里是引用第[3 楼]的代码罐头于2006-01-26 11:32发表的：
控制面板->本地安全策略->IP安全策略->自行添加安全策略
把从外到内的TCP 目标地址3389的都禁止
然后开放几条特定IP的就可以了

附件是我做好的比较完整的IPSEC规则
.......

我用了你这个后..就上不了网了
简单看了些策略..
需要改动一下才可以用哈
代码罐头是以自己的机器配置的..用到别人的机子上就不好使了.

我这个是给服务器用的.
个人PC肯定是不适合的.
服务器除了对外的服务以外,其他一律屏蔽的.包括访问外部的80端口
用来防止一定程度上的反向端口

[s:69]
就粗略的看了几个策略的属性
然后自己用了下后.就上不了网了..
留着.以后能用到的..个人机的.偶就关闭了23 25..等端口.

学习大哥的方法了.

引用:

这里是引用第[11 楼]的代码罐头于2006-01-26 22:19发表的：
我这个是给服务器用的.
个人PC肯定是不适合的.
服务器除了对外的服务以外,其他一律屏蔽的.包括访问外部的80端口
用来防止一定程度上的反向端口

请问一下使用HTTP的隧道能不能透过？
你说所的“服务器除了对外的服务以外,其他一律屏蔽的”
是以进程来限制的，还是以端口来限制的，还是以协议来限制的？
如果是以端口来限制，那么，端口转向。
如果以协议来限制，那么，用HTTP隧道应该能行得通。
如果是再加上以进程来限制，不知道用DLL插入的方法，能不能行得通
所以我觉得理论上想这么就实现安全也不行，除非再加入指定的能够访问的文件。（那也是不现实的）

不好意思，我是在网吧，没有下载你的程序，你如果来的话简单的给我说说就行了
我意在讨论方法

“用来防止一定程度上的反向端口”我这才看到你这句话，不好意思，原来你的目的只是为了防御反向端口，如果只是为了防止反向端口，当然是可以的，不过我说的是，如果要禁止别人正向连接你的话，理论上应该不行，除非你都不开服务了。

我所说的是能在对方机拿到一定的权限后，并且有能力运行我们的程序的时候的事情哈

如果说限制用户来防止终端登陆,这种想法个人觉得不是好的方法,
克隆用户一下就突破了.....

用自带的防火墙来限制远程登陆，那如果入侵者在远程拿到 SHELL 的话，直接在CMD下：

net stop sharedaccess 关掉呢，是否这样就可以登陆了？ [这个我没有测试过]

我遇到的情况是：2003系统，远程得到SHELL后，系统自带的用户提升管理员后，却不能远程3389登

陆。新添加的用户却可以登陆。登陆后在注册表里把系统自带的用户克隆成管理员，然后net stop

sharedaccess 关掉墙，就可以远程登陆了。当然，我这里遇到的是用户权限的问题，也没有看是否是

限制IP问题。

2003系统用户权限问题~就是所谓的只允许XXX用户登陆终端，你尝试一下用控制台登陆~试试~
mstsc /console

谢谢hack520了，正好遇到一个台湾机子，用组策略限制了指定用户才具有远程登陆权限。又不想干修改别人密码的勾当。2003sp1的服务器抓不到密码。使用内置guest帐户和新建的用户都无法登陆。克隆也试过，失败。还是用 mstsc /console调出控制台登陆，顺利进去了。

当然命令行下帮他卸载sp1也是可行的。闲麻烦。呵呵

大家帮我看下`
这是什么原因造成的啊？

Active Connections

  Proto  Local Address       Foreign Address      State
  TCP   0.0.0.0:135        0.0.0.0:0          LISTENING
  TCP   0.0.0.0:445        0.0.0.0:0          LISTENING
  TCP   0.0.0.0:1939        0.0.0.0:0          LISTENING
  TCP   127.0.0.1:1028      0.0.0.0:0          LISTENING
  TCP   169.254.122.111:139   0.0.0.0:0          LISTENING
  TCP   222.**.**.59:135    222.187.5.157:4121    ESTABLISHED
  TCP   222.**.**.59:135    222.187.5.182:1554    ESTABLISHED
  TCP   222.**.**.59:135    222.187.5.182:1813    ESTABLISHED
  TCP   222.**.**.59:135    222.187.5.182:3906    ESTABLISHED
  TCP   222.**.**.59:135    222.187.5.182:4004    ESTABLISHED
  TCP   222.**.**.59:135    222.187.5.203:2483    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.125:4756    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.166:1120    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.166:2347    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.166:2405    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.166:4005    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.209:1975    ESTABLISHED
  TCP   222.**.**.59:135    222.187.6.237:1778    ESTABLISHED
  TCP   222.**.**.59:135    222.187.7.104:3537    ESTABLISHED
  TCP   222.**.**.59:135    222.187.7.104:3977    ESTABLISHED
  TCP   222.**.**.59:135    222.187.7.104:4106    ESTABLISHED
  TCP   222.**.**.59:135    222.187.7.104:4904    ESTABLISHED
  TCP   222.**.**.59:135    222.187.7.104:4956    ESTABLISHED
  TCP   222.**.**.59:135    222.187.70.77:1179    ESTABLISHED
  TCP   222.**.**.59:135    222.187.71.115:1657   ESTABLISHED
  TCP   222.**.**.59:135    222.187.71.115:4347   ESTABLISHED
  TCP   222.**.**.59:135    222.187.71.151:3147   ESTABLISHED
  TCP   222.**.**.59:135    222.187.71.151:4454   ESTABLISHED
  TCP   222.**.**.59:135    222.187.71.167:2333   ESTABLISHED
  TCP   222.**.**.59:135    222.187.84.65:1735    ESTABLISHED
  TCP   222.**.**.59:135    222.187.84.65:3679    ESTABLISHED
  TCP   222.**.**.59:135    222.187.84.127:3822   ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.87:1296    ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.87:2534    ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.87:3398    ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.87:4255    ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.242:1723   ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.242:2202   ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.242:3591   ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.242:4707   ESTABLISHED
  TCP   222.**.**.59:135    222.187.85.242:4974   ESTABLISHED
  TCP   222.**.**.59:135    222.187.86.36:3480    ESTABLISHED
  TCP   222.**.**.59:135    222.187.86.57:3184    ESTABLISHED
  TCP   222.**.**.59:135    222.187.86.57:3820    ESTABLISHED
  TCP   222.**.**.59:135    222.187.86.188:1346   ESTABLISHED
  TCP   222.**.**.59:135    222.187.86.188:2037   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.116:1691   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.116:2307   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.116:2757   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.151:1358   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.151:2291   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.151:3645   ESTABLISHED
  TCP   222.**.**.59:135    222.**.**.151:4133   ESTABLISHED
  TCP   222.**.**.59:1355    219.133.49.80:443    CLOSE_WAIT
  TCP   222.**.**.59:3090    222.186.190.5:80     ESTABLISHED
  UDP   0.0.0.0:445        *:*
  UDP   0.0.0.0:500        *:*
  UDP   0.0.0.0:1045        *:*
  UDP   0.0.0.0:1058        *:*
  UDP   0.0.0.0:1372        *:*
  UDP   0.0.0.0:2000        *:*
  UDP   0.0.0.0:2001        *:*
  UDP   0.0.0.0:2002        *:*
  UDP   0.0.0.0:4000        *:*
  UDP   0.0.0.0:4001        *:*
  UDP   0.0.0.0:4500        *:*
  UDP   0.0.0.0:6000        *:*
  UDP   0.0.0.0:6001        *:*
  UDP   0.0.0.0:6002        *:*
  UDP   0.0.0.0:6003        *:*
  UDP   0.0.0.0:6004        *:*
  UDP   0.0.0.0:6005        *:*
  UDP   0.0.0.0:6006        *:*
  UDP   0.0.0.0:6007        *:*
  UDP   0.0.0.0:6008        *:*
  UDP   0.0.0.0:6009        *:*
  UDP   0.0.0.0:6010        *:*
  UDP   0.0.0.0:6011        *:*
  UDP   0.0.0.0:6012        *:*
  UDP   0.0.0.0:6013        *:*
  UDP   0.0.0.0:6014        *:*
  UDP   0.0.0.0:6015        *:*
  UDP   0.0.0.0:6016        *:*
  UDP   0.0.0.0:6017        *:*
  UDP   0.0.0.0:6018        *:*
  UDP   0.0.0.0:6019        *:*
  UDP   0.0.0.0:6020        *:*
  UDP   0.0.0.0:6021        *:*
  UDP   0.0.0.0:6022        *:*
  UDP   0.0.0.0:6023        *:*
  UDP   0.0.0.0:9000        *:*
  UDP   127.0.0.1:123       *:*
  UDP   127.0.0.1:1053      *:*
  UDP   127.0.0.1:1319      *:*
  UDP   127.0.0.1:1900      *:*
  UDP   127.0.0.1:2004      *:*
  UDP   127.0.0.1:2237      *:*
  UDP   127.0.0.1:2964      *:*
  UDP   169.254.122.111:123   *:*
  UDP   169.254.122.111:137   *:*
  UDP   169.254.122.111:138   *:*
  UDP   169.254.122.111:1900  *:*
  UDP   222.**.**.59:123    *:*
  UDP   222.**.**.59:1900    *:*

觉得很搞笑,
人家都能进你的3389了,肯定什么地方有执行权限,至少得添加帐户吧,能添加帐户的权限不小吧.
连不上,人家一下就想到了防火墙,至少我是.
net stop shareaccess
搞定.

net stop sharedaccess 呵呵 这样再限制也没用啊

可能楼主的意思不是仅仅封3389吧
所有的一起封吧,你跟本不能访问,也就不可能执行命令,这样未必太残酷了一点吧.
有点像拨网线,