无盘终端技术是目前改造旧机房的主流技术,其中最为流行的是Windows 2000无盘终端教学网系统。在维护中我发现Windows 2000无盘终端教室存在严重的安全隐患,写出来与同行共享。
(本文来源于图老师网站,更多请访问https://m.tulaoshi.com)
★Windows 2000登录的后门
Windows 2000家族在发布之时就有一个重大的安全漏洞——输入法后门,只要我们在登录用户名时切换到中文输入法,如“郑码”、“全拼”、“智能ABC”,通过这些输入法的帮助信息就能进入系统。因此,这一重大的安全漏洞可使别人有机会通过远程桌面连接到终端服务器上。解决的方法很简单,加上最新的Windows 2000补丁就能解决。
★不安全的终端服务配置
现在,有很多经济状况较差没钱购买专用服务器的学校,直接把终端教室的服务器安装双网卡作为上网代理,或者连接在校内局域网上。这样一来,在校内局域网上甚至互联网上的电脑也能以终端的方式操作这台服务器了。如果上面所说“输入法后门”也存在的话,那么我们的终端服务器就等于完全对外开放了。解决方法是:打开“终端服务配置”,展开“连接”,你会看到如“ICA-Tcp、RDP-Tcp”等连接,分别右击它们,打开“属性”对话框。以“RDP-Tcp 属性”为例,找到“网卡”选项卡,选中终端教室的网卡(请见附图),然后点击[确定],这样就只有通过这块网卡的连接才能使用终端服务了。
★不安全的终端用户机制
目前,远程启动技术主要有RPL、PXE两种方式,而大多数Windows 2000无盘终端教室使用的是RPL,即用RPL做好无盘DOS或Windows 3.2,再用批处理从DOS或Windows 3.2登录终端。使用者不必输密码,感觉就像直接启动成功一样。但是这背后也有重大的安全问题。为了达到上述方便启动,安装时会为每块网卡建立了一个账户并隶属于一个叫“Rplusers”的组,使用的是“空白密码”(也就是没密码)。而且用户名也是有规律的,如A1、A2、C1、C2或user01、user02或01、02等容易让人猜到,这样一来别人就可以通过网上邻居查看终端服务器中的内容了。解决这个问题的方法是:为这些账户设置相同密码(不定期修改),修改批处理文件。提示:将密码保存在一个文本格式文件中,结合DOS下的管道命令就能实现有密码自动登录了。
★不安全的默认共享
在Windows 2000家族(包括Windows XP和Windows 2003)中,系统安装后,会为每个驱动器创建形如C$、D$的默认共享,这是极为不安全的。因为这样就可通过网上邻居输入相应的共享名称来访问这些驱动器了。解决这个问题的方法是:打开注册表编辑器,展开“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters”项,添加键值AutoShareServer,类型为REG_DWORD,值为0,这样就可以彻底关闭“默认共享”了。
★不安全的FAT分区
在使用中发现,有些网络管理员为了让系统兼容,在终端上使用了FAT格式分区,并将这样的分区隐藏起来,比如使用“超级兔子”等工具实现。其实这很容易就被“破解”:工具就是我们常用的Word,用“文件→打开”就足够了。解决这个问题的方法是:由于FAT分区没有安全机制,建议大家全部使用NTFS格式,这样可通过对NTFS安全和配额的设置,能更方便地管理终端用户对磁盘的使用和访问。
