為了保障伺服器遠端控制操作的安全性,windows server 2008系統特意在這方面進行了強化,新推出了許多安全防範功能,不過有的功能在預設狀態下並沒有啟用,這需要我們自行動手,對該系統進行合適設定,才能保證遠端控制windows server 2008伺服器系統的安全性。
1、只允許指定人員進行遠端控制
如果允許任何一位普通使用者隨意對windows server 2008伺服器系統進行遠端控制時,那該伺服器系統的安全性肯定很難得到有效保證。有鑑於此,我們可以對windows satpeajjqerver 2008伺服器系統進行合適設定,只允許指定人員通過遠端桌面連線方式對其進行遠端控制,下面就是具體的設定步驟:
首先開啟windows server 2008伺服器系統桌面的「開始」選單,從中依次展開「程式」、「管理工具」、「伺服器管理器」選項,在其後出現的對應系統伺服器管理器控制台視窗中,點選左側子窗格中的「伺服器管理」節點擊項,之後選中目標節點分支下面的「伺服器摘要」設定項,再單擊「配置遠端桌面」專案,進入遠端控制windows server 2008系統的設定對話方塊;
其次在該設定對話方塊的「遠端桌面」處單擊「選擇使用者」按鈕,開啟如圖1所示的設定介面,從中我們會看到可以對windows server 2008伺服器系統進行遠端控制的所有使用者賬號,一旦看到有陌生的使用者賬號或不信任使用者賬號存在時,我們可以將它選中並單擊「刪除」按鈕,將它從系統中刪除掉;接著單擊對應設定介面中的「新增」按鈕,開啟使用者賬號設定對話方塊,從中將指定的管理員使用者賬號選中並新增進來,再單擊「確定」按鈕結束使用者賬號設定操作,如此一來windows server 2008伺服器系統日後只允許指定的系統管理員對其進行遠端管理操作,而不允許其他任何使用者對其進行遠端控制操作。
2、拒絕administrator進行攻擊測試
與傳統伺服器作業系統一樣,windows satpeajjqerver 2008伺服器系統在預設狀態下仍然會使用administrator賬號來完成系統登入操作,正因如此administrator賬號特別容易被一些非法攻擊者利用,他們企圖通過破解administrator賬號的密碼來登入伺服器,並嘗試對其進行攻擊測試。為了拒絕非法攻擊者使用administrator賬號進行攻擊測試,我們可以按照如下步驟設定windows server 2008伺服器系統:
首先在windows server 2008伺服器系統桌面中依次單擊「開始」/「執行」命令,在彈出的系統執行文字框中,輸入「secpol.msc」字串命令,單擊回車鍵後,開啟對應系統的本地安全組策略控制台視窗;
其次在本地安全組策略控制台視窗的左側顯示區域,將滑鼠定位於其中的「安全設定」節點擊項,在目標節點分支下面選中「本地策略」/「安全選項」,在對應「安全選項」分支下面找到目標安全組策略「帳戶:重新命名系統管理員帳戶」,並用滑鼠右鍵單擊該組策略選項,從其後出現的快捷選單中執行「屬性」命令,開啟「帳戶:重新命名系統管理員帳戶」組策略屬性設定對話方塊;單擊該對話方塊中的「本地安全設定」標籤,開啟如圖2所示的標籤設定頁面,在該頁面中我們可以將administrator賬號的名稱修改為其他人不容易猜中的名稱,例如可以將其修改為「guanliyuan」,最後單擊「確定」按鈕儲存好上述設定操作,這樣一來非法攻擊者企圖通過administrator賬號對windows server 2008伺服器系統進行攻擊測試時,就無法取得成功,那麼伺服器系統的安全效能就可以得到有效保證了。
3、修改telnet埠保護遠端連線安全
telnet命令是windows server 2008伺服器系統中預設的遠端登入程式,因為該程式是直接整合在伺服器系統中並且使用起來比較方便,所以網路管理員在管理伺服器時經常使用到該程式。不過,在使用telnet命令對伺服器系統進行遠端控制操作時,控制資訊往往是以明文方式在網路上傳輸的,一些惡意攻擊者很容易就能將類似賬號名稱和密碼這樣的控制資訊截獲走,同時telnet程式的身份驗證方式也存在明顯的弱點,那就是它特別容易受到其他人的攻擊。考慮到telnet命令對windows server 2008伺服器系統進行遠端控制時,一般會自動使用「23」這個預設的網路埠,並且該埠幾乎被所有人都熟悉,為了保護telnet遠端連線的安全性,我們只要按照下面的方法修改該程式預設的網路埠號碼,以阻止其他人隨意使用telnet命令對伺服器系統進行遠端控制操作:
首先在windows server 2008伺服器系統桌面中依次單擊「開始」/「執行」命令,在彈出的系統執行文字框中,輸入「cmd」字串命令,單擊回車鍵後,開啟對應系統的dos命令列工作視窗;
其次在dos視窗的命令列提示符下,輸入字串命令「tlntadmn config port=2991」(其中「2991」是修改後的新埠號碼),為了防止新設定的網路埠號碼與系統已有埠號碼存在衝突,我們必須確保這裡輸入的新埠號碼不能設定成已知系統服務的埠號碼;在確認上面的字串命令輸入正確後,單擊回車鍵,telnet命令使用的埠號碼就會www.cppcns.com自動變成「2991」了,此時網路管理員必須知道新埠號碼,才能使用該程式對windows server 2008伺服器系統進行遠端控制操作。
當然,我們不到伺服器現場,也能遠端修改windows server 2008伺服器系統的telnet程式埠號碼,我們只要在本地客戶端系統開啟dos命令列工作視窗,在該視窗的命令列提示符下輸入字串命令「tlntadmn config \\server port=2991 -u *** -p yyy 」(server表示遠端伺服器系統的主機名稱或ip位址,port=2991要修改為的遠端登入埠號碼,xx程式設計客棧x為登入伺服器系統的使用者名稱,yyy是對應使用者賬號的密碼,單擊回車鍵後,遠端伺服器系統的telnet埠號碼就變成「2991」了。
4、強行使用複雜密碼阻止暴力破解
要是windows server 2008伺服器系統的遠端登入密碼設定得不夠複雜時,那麼非法遠端控制使用者就有可能通過暴力方式將該登入密碼成功破解掉。而事實上,不少網路管理員為了便於記憶,常常會將伺服器系統的遠端登入密碼設定得比較簡單,這無形之中給非法攻擊者提供了暴力破解的機會,遠端控制操作的安全性也會受到嚴重威脅。為此,我們可只要對windows server 2008伺服器系統進行如下設定操作,來啟用系統自帶的密碼策略,強制使用者必須對遠端控制賬號設定比較複雜的密碼:
首先在windows server 2008伺服器系統桌面中依次單擊「開始」/「程式」/「管理工具」命令,在其後出現的系統管理工具列atpeajjq表視窗中,用滑鼠雙擊其中的「本地安全策略」圖示,開啟對應系統的本地安全設定對話方塊;
其次在該設定對話方塊的左側顯示區域,用滑鼠選中其中的「賬戶策略」分支選項,然後再將目標分支選項下面的「密碼策略」子項選中,在對應「密碼策略」子項的右側顯示區域,我們會看到六個有關密碼的設定策略選項,用滑鼠雙擊其中的「密碼必須符合複雜性要求」組策略選項,開啟如圖3所示的目標組策略屬性設定視窗;
檢查其中的「已啟用」選項是否處於選中狀態,要是發現該選項還沒有被選中時,我們應該及時將它重新選中,再單擊「確定」按鈕儲存好上述設定操作,如此一來windows server 2008伺服器系統的遠端登入密碼設定得不夠複雜時,系統就會自動彈出相關提示;
接下來,我們再對「強制密碼歷史」、「密碼長度最小值」、「用可還原的加密來儲存密碼」、「密碼最長使用期限」、「密碼最短使用期限」等策略進行按需修改,最後單擊「確定」按鈕完成所有設定操作,如此一來遠端登入密碼就能被強行設定得複雜了。
本文標題: win2008 遠端控制安全設定技巧
本文位址:
win2008 多使用者遠端登入
在使用windows 2008遠端登入功能時,如果需要進行多使用者登入,可以採用以下配置方法 首先要啟用遠端桌面這一功能 右擊 我的電腦 屬性 遠端配置 遠端桌面,就可以配置相應的遠端桌面功能了。下面是配置多使用者登陸的方法 開啟 控制面板 管理工具 終端服務 terminal services 終...
win2008遠端桌面3389埠更改為另外的埠
win2008遠端桌面埠預設是用的是3389埠,但是由於安全考慮,經常我們安裝好系統後一般都會考慮把原來的3389埠更改為另外的埠。本文以改為埠為25608商品為例,講解一下具體操作過程。開啟登錄檔 執行regedit。找到 hkey local machine system currentcont...
win2008之IIS7中FTP設定技巧
您需要將檔案放在 ftp 伺服器上的目錄中,以便使用者可以建立 ftp 連線並通過 ftp 客戶端或啟用 ftp 的 web 瀏覽器進行檔案傳輸。本文介紹在 web 伺服器上如何啟用並執行 ftp 服務。伺服器租用020800.com 一 安裝 iis 7.0 中的 ftp 若要設定 ftp 站點,...