远程登录进行服务器的管理和维护是管理员的日常工作之一 如何保障远登录的安全性也是大家必须要考虑的问题 本文将从帐户管理和登录工具的安全部署两个方面入手 谈谈如何实现服务的安全登录 一 严密设置加强帐户安全 帐户改名 Administrator和guest是Server
远程登录进行服务器的管理和维护是管理员的日常工作之一如何保障远登录的安全性也是大家必须要考虑的问题本文将从帐户管理和登录工具的安全部署两个方面入手谈谈如何实现服务的安全登录
一严密设置加强帐户安全
帐户改名
Administrator和guest是Server 默认的系统帐户正因如此它们是最可能被利用攻击者通过破解密码而登录服务器对此我们可以通过为其改名进行防范
administrator改名开始→运行在其中输入Secpolmsc回车打开本地安全组策略在左侧窗格中依次展开安全设置→本地策略→安全选项在右侧找到并双击打开帐户重命名系统管理员帐户然后在其中输入新的名称比如gslw即可(图)
guest改名作为服务器一般是不开启guest帐户的但是它往往被入侵者利用比如启用guest后将其加入到管理员组实施后期的控制我们通过改名可防止类似的攻击改名方法和administrator一样在上面的组策略项下找到帐户重命名来宾帐户然后在其中输入新的名称即可
密码策略
密码策略作用于域帐户或本地帐户其中就包含以下几个方面强制密码历史密码最长使用期限密码最短使用期限密码长度最小值密码必须符合复杂性要求用可还原的加密来存储密码
对于本地计算机的用户帐户其密码策略设置是在本地安全设置管理工个中进行的下面是具体的配置方法执行开始→管理工具→本地安全策略打开本地安全设置窗口打开用户策略选项然后再选择密码策略选项在右边详细信息窗口中将显示可配置的密码策略选项的当前配置然后双击相应的项打开属性后进行配置需要说明的是强制密码历史和用可还原的加密来储存密码这两项密码策略最好保持默认不要去修改(图)
帐户锁定
当服务器帐户密码不够强壮时非法用户很容易通过多次重试猜出用户密码而登录系统存在很大的安全风险那如何来防止黑客猜解或者爆破服务器密码呢?
其实要避免这一情况通过组策略设置帐户锁定策略即可完美解决此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定在帐户锁定期满之前该用户将不可使用除非管理员手动解除锁定其设置方法如下
在开始菜单的搜索框输入Gpeditmsc打开组策略对象编辑器然后依次点击定位到计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略策略项下双击右侧的帐户锁定阈值此项设置触发用户帐户被锁定的登录尝试失败的次数该值在到之间默认为表示登录次数不受限制大家可以根据自己的安全策略进行设置比如设置为(图)
二安全登录服务器
远程桌面
远程桌面是比较常用的服务器管理方式但是开启远程桌面就好像系统打开了一扇门人可以进来苍蝇蚊子也可以进来所以要做好安全措施
()用户限制
点击远程桌面下方的选择用户按钮然后在远程桌面用户 窗口中点击添加按钮输入允许的用户或者通过高级→立即查找添加用户由于远程登录有一定的安全风险管理员一定要严格控制可登录的帐户(图)
()更改端口
远程桌面默认的连接端口是攻击者就可以通过该端口进行连接尝试因此安全期间要修改该端口原则是端口号一般是以后的端口而且不容易被猜到更改远程桌面的连接端口要通过注册表进行打开注册表编辑器定位到如下注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDPTcp
分别将其右侧PortNumber的值改为其它的值比如需要说明的是该值是十六进制的更改时双击PortNumber点选十进制然后输入(图)
telnet连接
telnet是命令行下的远程登录工具因为是系统集成并且操作简单所以在服务器管理占有一席之地因为它在网络上用明文传送口令和数据别有用心的人非常容易就可以截获这些口令和数据而且这些服务程序的安全验证方式也是有其弱点的就是很容易受到中间人(maninthemiddle)这种方式的攻击并且其默认的端口是这是大家都知道的因此我们需要加强telnet的安全性
()修改端口
本地修改服务器的telnet端口方法是:开始→运行输入cmd打开命令提示符然后运行命令tlntadmn config port=(是修改后的telnet端口为了避免端口冲突不用设置成已知服务的端口)(图)
当然我们也可以远程修改服务器的telnet端口在命令提示符下输入命令tlntadmn config \\ port= u gslw p test (\\对方IPport=要修改为的telnet端口u指定对方的用户名p指定对方用户的密码)(图)
()用SSH替代Telnet
SSH(Secure Shell)它包括服务器端和客户端两部分SSH客户端与服务器端通讯时用户名和密码均进行了加密这就有效地防止了他人对密码的盗取而且通信中所传送的数据包都是非明码的方式更重要的是它提供了图形界面同时也可以在命令行(shell)下进行操作(图)
VPN连接的安全
适应信息化和移动办公的需要很多企业都部署了VPN服务器而采用基于Windows Server 的路由和远程访问服务搭建的VPN不失为一种安全方便的远程访问解决方案也是当前大多数中小型企业的首选VPN的安全威胁就来自这条线路之外即Internet为VPN服务器配置PPTP数据包筛选器是个比较有效的办法其原则是赋予接入VPN的客户端最少特权并且丢弃除明确允许的数据包以外的其它所有数据包
()快速部署VPN
在windows中路由和远程访问默认状态已经安装只需对此服务进行必要的配置使其生效即可依次选择开始→管理工具→路由和远程访问打开路由和远程访问服务窗口;再在窗口右边右击本地计算机名选择配置并启用路由和远程访问在出现的配置向导窗口点下一步进入服务选择窗口如果你的服务器只有一块网卡那只能选择自定义配置;而标准VPN配置是需要两块网卡的如果你服务器有两块网卡则可有针对性的选择第一项或第三项然后一路点击下一步即可开始VPN服务
()IPSEC数据包过滤
配置输入筛选器只允许来自PPTP VPN客户端的入站通信操作如下
第一步依次执行开始→程序→管理工具打开路由和远程访问窗口在其控制台的左侧窗口依次展开服务器名(本地)→IP路由选择然后单击常规在右侧窗格中双击本地连接打开本地连接属性对话框(图)
第二步在常规选项卡中单击入站筛选器然在打开的入站筛选器对话框中点击新建按钮打开添加IP筛选器对话框勾选目标网络复选框在IP地址编辑框中键入该外部接口的IP地址在子网掩码编辑框中键入在协议框下拉菜单中选中TCP协议在弹出的目标端口框中键入端口号然后单击确定按钮(图)
第三步
回到
入站筛选器
对话框
点选
丢弃所有的包
满足下列条件的除外
单选框
然后反单击
新建
按钮
勾选
目标网络
复选框
在
IP地址
编辑框中键入该外部接口的IP地址
在
子网掩码
编辑框中键入
在
协议
框下拉菜单中选中
其他
在
在协议号
框中键入
最后依次单击
确定
按钮完成设置
(图
)
配置输出筛选器配置PPTP输出筛选器其目的是只允许到达PPTP VPN客户端的出站通信操作如下
第一步在路由和远程访问窗口打开外部接口属性对话框然后在常规选项卡中单击出站筛选器按钮在打开的出站筛选器窗口中单击新建按钮打开添加IP筛选器对话框勾选 源网络复选框在IP地址编辑框中键入该外部接口的IP地址子网掩码为指定协议为TCP并指定源端口号为单击确定按钮(图)
第二步
回到
出站筛选器
对话框
点选
丢弃所有的包
满足下列条件的除外
单选框
然后单击
新建
按钮
勾选
源网络
复选框
在
IP地址
编辑框中键入该外部接口的IP地址
子网掩码
为
在
协议
框下拉菜单中选中
其他
指定
协议号
为
最后依次单击
确定
按钮完成设置
(图
)
端口是VPN服务器默认使用的端口而则代表TCP协议完成上述设置后就只有那些基于PPTP的VPN客户端可以访问VPN服务器的外部接口了这样就极大地加固了VPN的安全性
总结本文从帐户管理和登录工具方面谈了服务器远程登录的安全部署文中涉及的登录工具都是系统集成的当然在实际应用中管理员们也许会选择第三方的远程管理工具但是不管怎么样一定要做好安全部署远程控制是双刃剑方便了管理员也为攻击者提供了便利把好这道门是至关重要的
