在規模稍微大一些的局域網工作環境中,網絡管理員時常會采用遠程控制方式來管理服務器或重要工作主機;雖然這種控制方式可以提高網絡管理效率,但是遠程控制方式帶來的安全威脅往往也容易被管理人員忽視。為了保障服務器遠程控制操作的安全性,Windows Server 2008系統特意在這方面進行了強化,新推出了許多安全防范功能,不過有的功能在默認狀態下並沒有啟用,這需要我們自行動手,對該系統進行合適設置,才能保證遠程控制Windows Server 2008服務器系統的安全性。 1、只允許指定人員進行遠程控制 如果允許任何一位普通用戶隨意對Windows Server 2008服務器系統進行遠程控制時,那該服務器系統的安全性肯定很難得到有效保證。有鑒於此,我們可以對Windows Server 2008服務器系統進行合適設置,只允許指定人員通過遠程桌面連接方式對其進行遠程控制,下面就是具體的設置步驟: 首先打開Windows Server 2008服務器系統桌面的“開始”菜單,從中依次展開“程序”、“管理工具”、“服務器管理器”選項,在其後出現的對應系統服務器管理器控制台窗口中,點選左側子窗格中的“服務器管理”節點選項,之後選中目標節點分支下面的“服務器摘要”設置項,再單擊“配置遠程桌面”項目,進入遠程控制Windows Server 2008系統的設置對話框; 其次在該設置對話框的“遠程桌面”處單擊“選擇用戶”按鈕,打開如圖1所示的設置界面,從中我們會看到可以對Windows Server 2008服務器系統進行遠程控制的所有用戶賬號,一旦看到有陌生的用戶賬號或不信任用戶賬號存在時,我們可以將它選中並單擊“刪除”按鈕,將它從系統中刪除掉;接著單擊對應設置界面中的“添加”按鈕,打開用戶賬號設置對話框,從中將指定的管理員用戶賬號選中並添加進來,再單擊“確定”按鈕結束用戶賬號設置操作,如此一來Windows Server 2008服務器系統日後只允許指定的系統管理員對其進行遠程管理操作,而不允許其他任何用戶對其進行遠程控制操作。
圖1
2、拒絕Administrator進行攻擊測試 與傳統服務器操作系統一樣,Windows Server 2008服務器系統在默認狀態下仍然會使用Administrator賬號來完成系統登錄操作,正因如此Administrator賬號特別容易被一些非法攻擊者利用,他們企圖通過破解Administrator賬號的密碼來登錄服務器,並嘗試對其進行攻擊測試。為了拒絕非法攻擊者使用Administrator賬號進行攻擊測試,我們可以按照如下步驟設置Windows Server 2008服務器系統: 首先在Windows Server 2008服務器系統桌面中依次單擊“開始”/“運行”命令,在彈出的系統運行文本框中,輸入“Secpol.msc”字符串命令,單擊回車鍵後,打開對應系統的本地安全組策略控制台窗口; 其次在本地安全組策略控制台窗口的左側顯示區域,將鼠標定位於其中的“安全設置”節點選項,在目標節點分支下面選中“本地策略”/“安全選項”,在對應“安全選項”分支下面找到目標安全組策略“帳戶:重命名系統管理員帳戶”,並用鼠標右鍵單擊該組策略選項,從其後出現的快捷菜單中執行“屬性”命令,打開“帳戶:重命名系統管理員帳戶”組策略屬性設置對話框;單擊該對話框中的“本地安全設置”標簽,打開如圖2所示的標簽設置頁面,在該頁面中我們可以將Administrator賬號的名稱修改為其他人不容易猜中的名稱,例如可以將其修改為“guanliyuan”,最後單擊“確定”按鈕保存好上述設置操作,這樣一來非法攻擊者企圖通過Administrator賬號對Windows Server 2008服務器系統進行攻擊測試時,就無法取得成功,那麼服務器系統的安全性能就可以得到有效保證了。
圖2
3、修改telnet端口保護遠程連接安全 telnet命令是Windows Server 2008服務器系統中缺省的遠程登錄程序,因為該程序是直接集成在服務器系統中並且使用起來比較方便,所以網絡管理員在管理服務器時經常使用到該程序。不過,在使用telnet命令對服務器系統進行遠程控制操作時,控制信息往往是以明文方式在網絡上傳輸的,一些惡意攻擊者很容易就能將類似賬號名稱和密碼這樣的控制信息截獲走,同時telnet程序的身份驗證方式也存在明顯的弱點,那就是它特別容易受到其他人的攻擊。考慮到telnet命令對Windows Server 2008服務器系統進行遠程控制時,一般會自動使用“23”這個默認的網絡端口,並且該端口幾乎被所有人都熟悉,為了保護telnet遠程連接的安全性,我們只要按照下面的方法修改該程序默認的網絡端口號碼,以阻止其他人隨意使用telnet命令對服務器系統進行遠程控制操作: 首先在Windows Server 2008服務器系統桌面中依次單擊“開始”/“運行”命令,在彈出的系統運行文本框中,輸入“cmd”字符串命令,單擊回車鍵後,打開對應系統的DOS命令行工作窗口; 其次在DOS窗口的命令行提示符下,輸入字符串命令“tlntadmn config port=2991”(其中“2991”是修改後的新端口號碼),為了防止新設置的網絡端口號碼與系統已有端口號碼存在沖突,我們必須確保這裡輸入的新端口號碼不能設置成已知系統服務的端口號碼;在確認上面的字符串命令輸入正確後,單擊回車鍵,telnet命令使用的端口號碼就會自動變成“2991”了,此時網絡管理員必須知道新端口號碼,才能使用該程序對Windows Server 2008服務器系統進行遠程控制操作。 當然,我們不到服務器現場,也能遠程修改Windows Server 2008服務器系統的telnet程序端口號碼,我們只要在本地客戶端系統打開DOS命令行工作窗口,在該窗口的命令行提示符下輸入字符串命令“tlntadmn config server port=2991 -u xxx -p yyy ”(Server表示遠程服務器系統的主機名稱或IP地址,port=2991要修改為的遠程登錄端口號碼,xxx為登錄服務器系統的用戶名,yyy是對應用戶賬號的密碼,單擊回車鍵後,遠程服務器系統的telnet端口號碼就變成“2991”了。 4、強行使用復雜密碼阻止暴力破解 要是Windows Server 2008服務器系統的遠程登錄密碼設置得不夠復雜時,那麼非法遠程控制用戶就有可能通過暴力方式將該登錄密碼成功破解掉。而事實上,不少網絡管理員為了便於記憶,常常會將服務器系統的遠程登錄密碼設置得比較簡單,這無形之中給非法攻擊者提供了暴力破解的機會,遠程控制操作的安全性也會受到嚴重威脅。為此,我們可只要對Windows Server 2008服務器系統進行如下設置操作,來啟用系統自帶的密碼策略,強制用戶必須對遠程控制賬號設置比較復雜的密碼: 首先在Windows Server 2008服務器系統桌面中依次單擊“開始”/“程序”/“管理工具”命令,在其後出現的系統管理工具列表窗口中,用鼠標雙擊其中的“本地安全策略”圖標,打開對應系統的本地安全設置對話框; 其次在該設置對話框的左側顯示區域,用鼠標選中其中的“賬戶策略”分支選項,然後再將目標分支選項下面的“密碼策略”子項選中,在對應“密碼策略”子項的右側顯示區域,我們會看到六個有關密碼的設置策略選項,用鼠標雙擊其中的“密碼必須符合復雜性要求”組策略選項,打開如圖3所示的目標組策略屬性設置窗口; 檢查其中的“已啟用”選項是否處於選中狀態,要是發現該選項還沒有被選中時,我們應該及時將它重新選中,再單擊“確定”按鈕保存好上述設置操作,如此一來Windows Server 2008服務器系統的遠程登錄密碼設置得不夠復雜時,系統就會自動彈出相關提示;
接下來,我們再對“強制密碼歷史”、“密碼長度最小值”、“用可還原的加密來儲存密碼”、“密碼最長使用期限”、“密碼最短使用期限”等策略進行按需修改,最後單擊“確定”按鈕完成所有設置操作,如此一來遠程登錄密碼就能被強行設置得復雜了。
圖3