Windows服务安全

Windows服务和终端服务安全技巧

系统服务安全设置

Windows服务程序是一个长时间运行的可执行程序，不需要用户的交互，也不需要用户登录。

服务具有两面性，一是合法用户服务，也有可能被入侵者利用。

服务运行方式有两种:

1、 独立EXE程序运行。

2、 以DLL形式，依附在svchost.exe程序运行。

 

 

 

Windows服务启动类型

服务包括三种启动类型:自动、手动、禁用。

• 自动--启动时自动加载服务。
• 手动--启动时不自动加载服务，需要的时候手动开启。
• 禁用--启动不加载服务，在需要的时候选择手动或者自动方式开启服务，并重启电脑。

服务启动类型设置：

1、 打开"运行"窗口，输入"services.msc"。

2、 双击需要配置的服务，出现属性对话框，选择启动方式。

注册表下设置的方法：

在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service底下每一个服务项的子项都有一个Start数值，这个数值的内容依照每一个服务项目的状况而又有不同。Start数值内容所记录的就是服务项目驱动程式该在何时被加载。

Start内容的定义有0、1、2、3、4五种状态，0、1、2分别代表BOOT、System、Auto Load三种意义。而Start数值内容为3的服务项目代表让使用者以手动的方式载入，4则是代表停用的状态，也就是禁用。

 

 

禁止不必要的系统服务：

Computer Browser -- 同一工作组下发现主机的服务

Remote Registry Server -- 远程注册表服务

Schedule -- 定时服务

Server -- 共享服务

Spooler -- 打印机服务

Terminal -- 远程桌面服务

Telnet -- 远程连接服务

TCP/IP NetBios Helper -- 共享服务

......

手工替换服务(命令行)

1、 删除BITS服务 

sc delete BITS

2、Windows下sc create命令行添加/创建/修改服务 

sc create BITS binpath= "C:\WINDOWS\system32\muma.exe" type= share start= auto displayname= "Background Intelligent Transfer Service" depend= RpcSs/EventSystem

3、 修改描述：

sc description BITS "利用空闲的网络带宽在后台传输文件…。"

4、其他用法

# 设置服务启动类型
# 手动启动
sc config servicename start= demand
# 禁用
sc config servicename start= disabled

# 停止/启动服务
sc stop/start servicename

# 选项名称包括等号。
# 等号和值之间需要一个空格。

Windows终端服务的安全

1、更改默认RDP口

2、启用策略审计

3、隐秘记录终端登录IP

4、远程登录白名单--IPSEC部分

更改默认RDP口

将默认的3389口改掉。

修改注册表：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp和HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer\Wds\rdpwd\Tds\tcp,这两个分支下的portnumber键值改为你想要的端口，重启生效。

 

 

指定用户可以访问远程终端-- Tscc.msc

组策略开启登录审计

1、"组策略编辑器" -- "计算机配置" -- "windows设置" -- "安全设置" -- "本地策略" -- "审核策略"

2、双击策略，将每个策略的成功、失败都勾选上，这样所有的信息都会记录在日志中。

 

 

批处理记录远程终端连接ip日志

1、 将下面的代码保存在记事本中保存为3389.bat

@echo off
date /t>>E:\server\3389.txt     (date和time时用于获取系统时间的)
attrib +s +h E:\server\3389.bat   
attrib +s +h E:\server\3389.txt    (用来隐藏3389.bat和3389.txt这两个文件)
time /t>>E:\server\3389.txt
netstat -an|find "ESTABLISHED"|find ":3389">>D:\3389.txt    (记录通过终端的连接状况)

2、 打开注册表，展开:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,找到"Userinit"这个键值，这个键值默认为C:\windows\system32\userinit.exe，在他的都好后面加上E:\server\3389.bat批处理的路径，同时以逗号结尾。

3、或者可以在这里配置。