ts_block 项目教程

1. 项目介绍

ts_block 是一个开源的 VBScript 程序，它作为 WMI 事件接收器，用于监听和处理 Windows 系统记录的无效终端服务登录尝试。该程序能够分析这些日志条目并执行相应的动作，比如立即封锁某些用户名的登录尝试，或者当某个 IP 地址的登录尝试过于频繁时对其进行封锁。ts_block 的配置参数允许管理员自定义封锁规则，如封锁的用户名、登录尝试次数阈值和封锁持续时间等。

2. 项目快速启动

环境准备

• 确保你的系统是 Windows Vista、Windows Server 2008 或更高版本，因为 ts_block 利用系统的高级防火墙功能。
• 对于 Windows Server 2003 用户，需要配置一个黑洞路由，具体配置方法见下文。

配置黑洞路由（仅限 Windows Server 2003）

1. 选择一个未使用的本地 IP 地址作为黑洞路由的目的地址。
2. 如果使用物理硬件，安装 Microsoft Loopback Adapter：
   • 访问 KB 842561 了解安装过程。
   • 分配一个静态 IP 地址和子网掩码给适配器，不要设置默认网关。
3. 如果不使用物理硬件，直接在注册表中指定黑洞 IP 地址。

注册表配置

在注册表路径 HKLM\Software\Policies\Wellbury LLC\ts_block 下设置以下参数：

• BlockAttempts：连续失败的登录尝试次数，达到此次数后触发封锁。
• BlockDuration：封锁持续的时间（秒）。
• BlockTimeout：两次失败尝试之间的间隔时间（秒），超过此时间重置尝试次数。
• BlackholeIP：黑洞路由的 IP 地址（仅限 Windows Server 2003）。

运行脚本

将 ts_block.vbs 脚本复制到目标位置，根据需要修改配置参数。使用 CSCRIPT.EXE 运行脚本，并进行测试。

cscript ts_block.vbs

3. 应用案例和最佳实践

• 案例：一个公司发现他们的服务器频繁遭受来自同一 IP 地址的无效登录尝试。使用 ts_block，他们能够自动封锁该 IP 地址，减少安全风险。
• 最佳实践：定期检查和更新封锁规则，以适应新的安全威胁。

4. 典型生态项目

ts_block 作为终端服务安全的一个组成部分，可以与以下项目配合使用：

• Windows 防火墙管理工具：用于更细粒度地控制网络流量。
• 入侵检测系统（IDS）：提供额外的安全监控和警报机制。