热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

Win2008远程控制安全设置技巧

在规模稍微大一些的局域网工作环境中,网络管理员时常会采用远程控制方式来管理服务器或重要工作主机;虽然这种控制方式可以提高网络管理效率,但是远程控制方式带来的安全威胁往往也容易被管理人员忽视。
为了保障服务器远程控制操作的安全性,Windows Server 2008系统特意在这方面进行了强化,新推出了许多安全防范功能,不过有的功能在默认状态下并没有启用,这需要我们自行动手,对该系统进行合适设置,才能保证远程控制Windows Server 2008服务器系统的安全性。

  1、只允许指定人员进行远程控制

  如果允许任何一位普通用户随意对Windows Server 2008服务器系统进行远程控制时,那该服务器系统的安全性肯定很难得到有效保证。有鉴于此,我们可以对Windows Server 2008服务器系统进行合适设置,只允许指定人员通过远程桌面连接方式对其进行远程控制,下面就是具体的设置步骤:

  首先打开Windows Server 2008服务器系统桌面的“开始”菜单,从中依次展开“程序”、“管理工具”、“服务器管理器”选项,在其后出现的对应系统服务器管理器控制台窗口中,点选左侧子窗格中的“服务器管理”节点选项,之后选中目标节点分支下面的“服务器摘要”设置项,再单击“配置远程桌面”项目,进入远程控制Windows Server 2008系统的设置对话框;

  其次在该设置对话框的“远程桌面”处单击“选择用户”按钮,打开如图1所示的设置界面,从中我们会看到可以对Windows Server 2008服务器系统进行远程控制的所有用户账号,一旦看到有陌生的用户账号或不信任用户账号存在时,我们可以将它选中并单击“删除”按钮,将它从系统中删除掉;接着单击对应设置界面中的“添加”按钮,打开用户账号设置对话框,从中将指定的管理员用户账号选中并添加进来,再单击“确定”按钮结束用户账号设置操作,如此一来Windows Server 2008服务器系统日后只允许指定的系统管理员对其进行远程管理操作,而不允许其他任何用户对其进行远程控制操作。

  2、拒绝Administrator进行攻击测试

  与传统服务器操作系统一样,Windows Server 2008服务器系统在默认状态下仍然会使用Administrator账号来完成系统登录操作,正因如此Administrator账号特别容易被一些非法攻击者利用,他们企图通过破解Administrator账号的密码来登录服务器,并尝试对其进行攻击测试。为了拒绝非法攻击者使用Administrator账号进行攻击测试,我们可以按照如下步骤设置Windows Server 2008服务器系统:

  首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“Secpol.msc”字符串命令,单击回车键后,打开对应系统的本地安全组策略控制台窗口;

  其次在本地安全组策略控制台窗口的左侧显示区域,将鼠标定位于其中的“安全设置”节点选项,在目标节点分支下面选中“本地策略”/“安全选项”,在对应“安全选项”分支下面找到目标安全组策略“帐户:重命名系统管理员帐户”,并用鼠标右键单击该组策略选项,从其后出现的快捷菜单中执行“属性”命令,打开“帐户:重命名系统管理员帐户”组策略属性设置对话框;单击该对话框中的“本地安全设置”标签,打开如图2所示的标签设置页面,在该页面中我们可以将Administrator账号的名称修改为其他人不容易猜中的名称,例如可以将其修改为“guanliyuan”,最后单击“确定”按钮保存好上述设置操作,这样一来非法攻击者企图通过Administrator账号对Windows Server 2008服务器系统进行攻击测试时,就无法取得成功,那么服务器系统的安全性能就可以得到有效保证了。

  3、修改telnet端口保护远程连接安全

  telnet命令是Windows Server 2008服务器系统中缺省的远程登录程序,因为该程序是直接集成在服务器系统中并且使用起来比较方便,所以网络管理员在管理服务器时经常使用到该程序。不过,在使用telnet命令对服务器系统进行远程控制操作时,控制信息往往是以明文方式在网络上传输的,一些恶意攻击者很容易就能将类似账号名称和密码这样的控制信息截获走,同时telnet程序的身份验证方式也存在明显的弱点,那就是它特别容易受到其他人的攻击。考虑到telnet命令对Windows Server 2008服务器系统进行远程控制时,一般会自动使用“23”这个默认的网络端口,并且该端口几乎被所有人都熟悉,为了保护telnet远程连接的安全性,我们只要按照下面的方法修改该程序默认的网络端口号码,以阻止其他人随意使用telnet命令对服务器系统进行远程控制操作:

  首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行文本框中,输入“cmd”字符串命令,单击回车键后,打开对应系统的DOS命令行工作窗口;

  其次在DOS窗口的命令行提示符下,输入字符串命令“tlntadmn config port=2991”(其中“2991”是修改后的新端口号码),为了防止新设置的网络端口号码与系统已有端口号码存在冲突,我们必须确保这里输入的新端口号码不能设置成已知系统服务的端口号码;在确认上面的字符串命令输入正确后,单击回车键,telnet命令使用的端口号码就会自动变成“2991”了,此时网络管理员必须知道新端口号码,才能使用该程序对Windows Server 2008服务器系统进行远程控制操作。

  当然,我们不到服务器现场,也能远程修改Windows Server 2008服务器系统的telnet程序端口号码,我们只要在本地客户端系统打开DOS命令行工作窗口,在该窗口的命令行提示符下输入字符串命令“tlntadmn config \\server port=2991 -u xxx -p yyy ”(Server表示远程服务器系统的主机名称或IP地址,port=2991要修改为的远程登录端口号码,xxx为登录服务器系统的用户名,yyy是对应用户账号的密码,单击回车键后,远程服务器系统的telnet端口号码就变成“2991”了。

  4、强行使用复杂密码阻止暴力破解

  要是Windows Server 2008服务器系统的远程登录密码设置得不够复杂时,那么非法远程控制用户就有可能通过暴力方式将该登录密码成功破解掉。而事实上,不少网络管理员为了便于记忆,常常会将服务器系统的远程登录密码设置得比较简单,这无形之中给非法攻击者提供了暴力破解的机会,远程控制操作的安全性也会受到严重威胁。为此,我们可只要对Windows Server 2008服务器系统进行如下设置操作,来启用系统自带的密码策略,强制用户必须对远程控制账号设置比较复杂的密码:

首先在Windows Server 2008服务器系统桌面中依次单击“开始”/“程序”/“管理工具”命令,在其后出现的系统管理工具列表窗口中,用鼠标双击其中的“本地安全策略”图标,打开对应系统的本地安全设置对话框;

  其次在该设置对话框的左侧显示区域,用鼠标选中其中的“账户策略”分支选项,然后再将目标分支选项下面的“密码策略”子项选中,在对应“密码策略”子项的右侧显示区域,我们会看到六个有关密码的设置策略选项,用鼠标双击其中的“密码必须符合复杂性要求”组策略选项,打开如图3所示的目标组策略属性设置窗口;

  检查其中的“已启用”选项是否处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好上述设置操作,如此一来Windows Server 2008服务器系统的远程登录密码设置得不够复杂时,系统就会自动弹出相关提示;

  接下来,我们再对“强制密码历史”、“密码长度最小值”、“用可还原的加密来储存密码”、“密码最长使用期限”、“密码最短使用期限”等策略进行按需修改,最后单击“确定”按钮完成所有设置操作,如此一来远程登录密码就能被强行设置得复杂了。
推荐阅读
  • 服务器虚拟化存储设计,完美规划储存与资源,部署高性能虚拟化桌面
    规划部署虚拟桌面环境前,必须先估算目前所使用实体桌面环境的工作负载与IOPS性能,并慎选储存设备。唯有谨慎估算贴近实际的IOPS性能,才能 ... [详细]
  • 本文详细介绍如何安装和配置DedeCMS的移动端站点,包括新版本安装、老版本升级、模板适配以及必要的代码修改,以确保移动站点的正常运行。 ... [详细]
  • JavaScript 跨域解决方案详解
    本文详细介绍了JavaScript在不同域之间进行数据传输或通信的技术,包括使用JSONP、修改document.domain、利用window.name以及HTML5的postMessage方法等跨域解决方案。 ... [详细]
  • 本文提供了多种有效的方法来解决RPC(远程过程调用)服务器不可用的问题,包括通过修改注册表、使用SC命令以及利用故障恢复控制台等技术手段。 ... [详细]
  • 吴石访谈:腾讯安全科恩实验室如何引领物联网安全研究
    腾讯安全科恩实验室曾两次成功破解特斯拉自动驾驶系统,并远程控制汽车,展示了其在汽车安全领域的强大实力。近日,该实验室负责人吴石接受了InfoQ的专访,详细介绍了团队未来的重点方向——物联网安全。 ... [详细]
  • 解决Win10 1709版本文件共享安全警告问题
    每当Windows 10发布新版本时,由于兼容性问题往往会出现各种故障。近期,一些用户在升级至1709版本后遇到了无法访问共享文件夹的问题,系统提示‘文件共享不安全,无法连接’。本文将提供多种解决方案,帮助您轻松解决这一难题。 ... [详细]
  • 在测试软件或进行系统维护时,有时会遇到电脑蓝屏的情况,即便使用了沙盒环境也无法完全避免。本文将详细介绍常见的蓝屏错误代码及其解决方案,帮助用户快速定位并解决问题。 ... [详细]
  • 搭建个人博客:WordPress安装详解
    计划建立个人博客来分享生活与工作的见解和经验,选择WordPress是因为它专为博客设计,功能强大且易于使用。 ... [详细]
  • H5技术实现经典游戏《贪吃蛇》
    本文将分享一个使用HTML5技术实现的经典小游戏——《贪吃蛇》。通过H5技术,我们将探讨如何构建这款游戏的两种主要玩法:积分闯关和无尽模式。 ... [详细]
  • Docker安全策略与管理
    本文探讨了Docker的安全挑战、核心安全特性及其管理策略,旨在帮助读者深入理解Docker安全机制,并提供实用的安全管理建议。 ... [详细]
  • 对于初学者而言,搭建一个高效稳定的 Python 开发环境是入门的关键一步。本文将详细介绍如何利用 Anaconda 和 Jupyter Notebook 来构建一个既易于管理又功能强大的开发环境。 ... [详细]
  • 本文详细介绍了如何在Oracle VM VirtualBox中实现主机与虚拟机之间的数据交换,包括安装Guest Additions增强功能,以及如何利用这些功能进行文件传输、屏幕调整等操作。 ... [详细]
  • 本文介绍了SIP(Session Initiation Protocol,会话发起协议)的基本概念、功能、消息格式及其实现机制。SIP是一种在IP网络上用于建立、管理和终止多媒体通信会话的应用层协议。 ... [详细]
  • 软件测试行业深度解析:迈向高薪的必经之路
    本文深入探讨了软件测试行业的发展现状及未来趋势,旨在帮助有志于在该领域取得高薪的技术人员明确职业方向和发展路径。 ... [详细]
  • JavaScript 页面卸载事件详解 (onunload)
    当用户从页面离开时(如关闭页面或刷新页面),会触发 onunload 事件,此时可以执行预设的脚本。需要注意的是,不同的浏览器对 onunload 事件的支持程度可能有所不同。 ... [详细]
author-avatar
二不-不二
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有