快捷導(dǎo)航

Win2008遠(yuǎn)程控制確保安全的設(shè)置技巧

更新時(shí)間：2009年10月19日 13:14:39 作者：

在規(guī)模稍微大一些的局域網(wǎng)工作環(huán)境中，網(wǎng)絡(luò)管理員時(shí)常會采用遠(yuǎn)程控制方式來管理服務(wù)器或重要工作主機(jī)；

雖然這種控制方式可以提高網(wǎng)絡(luò)管理效率，但是遠(yuǎn)程控制方式帶來的安全威脅往往也容易被管理人員忽視。為了保障服務(wù)器遠(yuǎn)程控制操作的安全性，Windows Server 2008系統(tǒng)特意在這方面進(jìn)行了強(qiáng)化，新推出了許多安全防范功能，不過有的功能在默認(rèn)狀態(tài)下并沒有啟用，這需要我們自行動手，對該系統(tǒng)進(jìn)行合適設(shè)置，才能保證遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)的安全性。

　　1、只允許指定人員進(jìn)行遠(yuǎn)程控制

　　如果允許任何一位普通用戶隨意對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制時(shí)，那該服務(wù)器系統(tǒng)的安全性肯定很難得到有效保證。有鑒于此，我們可以對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行合適設(shè)置，只允許指定人員通過遠(yuǎn)程桌面連接方式對其進(jìn)行遠(yuǎn)程控制，下面就是具體的設(shè)置步驟：

　　首先打開Windows Server 2008服務(wù)器系統(tǒng)桌面的“開始”菜單，從中依次展開“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng)，在其后出現(xiàn)的對應(yīng)系統(tǒng)服務(wù)器管理器控制臺窗口中，點(diǎn)選左側(cè)子窗格中的“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)，之后選中目標(biāo)節(jié)點(diǎn)分支下面的“服務(wù)器摘要”設(shè)置項(xiàng)，再單擊“配置遠(yuǎn)程桌面”項(xiàng)目，進(jìn)入遠(yuǎn)程控制Windows Server 2008系統(tǒng)的設(shè)置對話框；

　　其次在該設(shè)置對話框的“遠(yuǎn)程桌面”處單擊“選擇用戶”按鈕，打開如圖1所示的設(shè)置界面，從中我們會看到可以對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制的所有用戶賬號，一旦看到有陌生的用戶賬號或不信任用戶賬號存在時(shí)，我們可以將它選中并單擊“刪除”按鈕，將它從系統(tǒng)中刪除掉；接著單擊對應(yīng)設(shè)置界面中的“添加”按鈕，打開用戶賬號設(shè)置對話框，從中將指定的管理員用戶賬號選中并添加進(jìn)來，再單擊“確定”按鈕結(jié)束用戶賬號設(shè)置操作，如此一來Windows Server 2008服務(wù)器系統(tǒng)日后只允許指定的系統(tǒng)管理員對其進(jìn)行遠(yuǎn)程管理操作，而不允許其他任何用戶對其進(jìn)行遠(yuǎn)程控制操作。

圖1

　　2、拒絕Administrator進(jìn)行攻擊測試

　　與傳統(tǒng)服務(wù)器操作系統(tǒng)一樣，Windows Server 2008服務(wù)器系統(tǒng)在默認(rèn)狀態(tài)下仍然會使用Administrator賬號來完成系統(tǒng)登錄操作，正因如此Administrator賬號特別容易被一些非法攻擊者利用，他們企圖通過破解Administrator賬號的密碼來登錄服務(wù)器，并嘗試對其進(jìn)行攻擊測試。為了拒絕非法攻擊者使用Administrator賬號進(jìn)行攻擊測試，我們可以按照如下步驟設(shè)置Windows Server 2008服務(wù)器系統(tǒng)：

　　首先在Windows Server 2008服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“Secpol.msc”字符串命令，單擊回車鍵后，打開對應(yīng)系統(tǒng)的本地安全組策略控制臺窗口；

　　其次在本地安全組策略控制臺窗口的左側(cè)顯示區(qū)域，將鼠標(biāo)定位于其中的“安全設(shè)置”節(jié)點(diǎn)選項(xiàng)，在目標(biāo)節(jié)點(diǎn)分支下面選中“本地策略”/“安全選項(xiàng)”，在對應(yīng)“安全選項(xiàng)”分支下面找到目標(biāo)安全組策略“帳戶：重命名系統(tǒng)管理員帳戶”，并用鼠標(biāo)右鍵單擊該組策略選項(xiàng)，從其后出現(xiàn)的快捷菜單中執(zhí)行“屬性”命令，打開“帳戶：重命名系統(tǒng)管理員帳戶”組策略屬性設(shè)置對話框；單擊該對話框中的“本地安全設(shè)置”標(biāo)簽，打開如圖2所示的標(biāo)簽設(shè)置頁面，在該頁面中我們可以將Administrator賬號的名稱修改為其他人不容易猜中的名稱，例如可以將其修改為“guanliyuan”，最后單擊“確定”按鈕保存好上述設(shè)置操作，這樣一來非法攻擊者企圖通過Administrator賬號對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行攻擊測試時(shí)，就無法取得成功，那么服務(wù)器系統(tǒng)的安全性能就可以得到有效保證了。

9 8 :

圖2

　　3、修改telnet端口保護(hù)遠(yuǎn)程連接安全

　　telnet命令是Windows Server 2008服務(wù)器系統(tǒng)中缺省的遠(yuǎn)程登錄程序，因?yàn)樵摮绦蚴侵苯蛹稍诜?wù)器系統(tǒng)中并且使用起來比較方便，所以網(wǎng)絡(luò)管理員在管理服務(wù)器時(shí)經(jīng)常使用到該程序。不過，在使用telnet命令對服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制操作時(shí)，控制信息往往是以明文方式在網(wǎng)絡(luò)上傳輸?shù)模恍阂夤粽吆苋菀拙湍軐㈩愃瀑~號名稱和密碼這樣的控制信息截獲走，同時(shí)telnet程序的身份驗(yàn)證方式也存在明顯的弱點(diǎn)，那就是它特別容易受到其他人的攻擊?？紤]到telnet命令對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制時(shí)，一般會自動使用“23”這個(gè)默認(rèn)的網(wǎng)絡(luò)端口，并且該端口幾乎被所有人都熟悉，為了保護(hù)telnet遠(yuǎn)程連接的安全性，我們只要按照下面的方法修改該程序默認(rèn)的網(wǎng)絡(luò)端口號碼，以阻止其他人隨意使用telnet命令對服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制操作：

　　首先在Windows Server 2008服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行文本框中，輸入“cmd”字符串命令，單擊回車鍵后，打開對應(yīng)系統(tǒng)的DOS命令行工作窗口；

　　其次在DOS窗口的命令行提示符下，輸入字符串命令“tlntadmn config port=2991”(其中“2991”是修改后的新端口號碼），為了防止新設(shè)置的網(wǎng)絡(luò)端口號碼與系統(tǒng)已有端口號碼存在沖突，我們必須確保這里輸入的新端口號碼不能設(shè)置成已知系統(tǒng)服務(wù)的端口號碼；在確認(rèn)上面的字符串命令輸入正確后，單擊回車鍵，telnet命令使用的端口號碼就會自動變成“2991”了，此時(shí)網(wǎng)絡(luò)管理員必須知道新端口號碼，才能使用該程序?qū)indows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程控制操作。

　　當(dāng)然，我們不到服務(wù)器現(xiàn)場，也能遠(yuǎn)程修改Windows Server 2008服務(wù)器系統(tǒng)的telnet程序端口號碼，我們只要在本地客戶端系統(tǒng)打開DOS命令行工作窗口，在該窗口的命令行提示符下輸入字符串命令“tlntadmn config server port=2991 -u xxx -p yyy ”(Server表示遠(yuǎn)程服務(wù)器系統(tǒng)的主機(jī)名稱或IP地址，port=2991要修改為的遠(yuǎn)程登錄端口號碼，xxx為登錄服務(wù)器系統(tǒng)的用戶名，yyy是對應(yīng)用戶賬號的密碼，單擊回車鍵后，遠(yuǎn)程服務(wù)器系統(tǒng)的telnet端口號碼就變成“2991”了。

　　4、強(qiáng)行使用復(fù)雜密碼阻止暴力破解

　　要是Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程登錄密碼設(shè)置得不夠復(fù)雜時(shí)，那么非法遠(yuǎn)程控制用戶就有可能通過暴力方式將該登錄密碼成功破解掉。而事實(shí)上，不少網(wǎng)絡(luò)管理員為了便于記憶，常常會將服務(wù)器系統(tǒng)的遠(yuǎn)程登錄密碼設(shè)置得比較簡單，這無形之中給非法攻擊者提供了暴力破解的機(jī)會，遠(yuǎn)程控制操作的安全性也會

受到嚴(yán)重威脅。為此，我們可只要對Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行如下設(shè)置操作，來啟用系統(tǒng)自帶的密碼策略，強(qiáng)制用戶必須對遠(yuǎn)程控制賬號設(shè)置比較復(fù)雜的密碼：

　　首先在Windows Server 2008服務(wù)器系統(tǒng)桌面中依次單擊“開始”/“程序”/“管理工具”命令，在其后出現(xiàn)的系統(tǒng)管理工具列表窗口中，用鼠標(biāo)雙擊其中的“本地安全策略”圖標(biāo)，打開對應(yīng)系統(tǒng)的本地安全設(shè)置對話框；

　　其次在該設(shè)置對話框的左側(cè)顯示區(qū)域，用鼠標(biāo)選中其中的“賬戶策略”分支選項(xiàng)，然后再將目標(biāo)分支選項(xiàng)下面的“密碼策略”子項(xiàng)選中，在對應(yīng)“密碼策略”子項(xiàng)的右側(cè)顯示區(qū)域，我們會看到六個(gè)有關(guān)密碼的設(shè)置策略選項(xiàng)，用鼠標(biāo)雙擊其中的“密碼必須符合復(fù)雜性要求”組策略選項(xiàng)，打開如圖3所示的目標(biāo)組策略屬性設(shè)置窗口；

　　檢查其中的“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)該選項(xiàng)還沒有被選中時(shí)，我們應(yīng)該及時(shí)將它重新選中，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程登錄密碼設(shè)置得不夠復(fù)雜時(shí)，系統(tǒng)就會自動彈出相關(guān)提示；

您可能感興趣的文章: