伺服器Windows Server 2008 遠端控制安全設定技巧

標籤：conf   資訊   也會   網路連接埠   字元   標籤設定   tor   暴力   最小值   

為了保障伺服器遠端控制操作的安全性，Windows Server 2008系統特意在這方面進行了強化，新推出了許多安全防範功能，不過有的功能在預設狀態下並沒有啟用，這需要我們自行動手，對該系統進行合適設定，才能保證遠端控制Windows Server 2008伺服器系統的安全性。 

　　1、只允許指定人員進行遠端控制 

　　如果允許任何一位普通使用者隨意對Windows Server 2008伺服器系統進行遠端控制時，那該伺服器系統的安全性肯定很難得到有效保證。有鑒於此，我們可以對Windows Server 2008伺服器系統進行合適設定，只允許指定人員通過遠端桌面連線方式對其進行遠端控制，下面就是具體的設定步驟： 

　　首先開啟Windows Server 2008伺服器系統案頭的“開始”菜單，從中依次展開“程式”、“管理工具”、“伺服器管理員”選項，在其後出現的對應系統伺服器管理員控制台視窗中，點選左側子窗格中的“伺服器管理”節點選項，之後選中目標節點分支下面的“伺服器摘要”設定項，再單擊“配置遠端桌面”項目，進入遠端控制Windows Server 2008系統的設定對話方塊; 

　　其次在該設定對話方塊的“遠端桌面”處單擊“選擇使用者”按鈕，開啟1所示的設定介面，從中我們會看到可以對Windows Server 2008伺服器系統進行遠端控制的所有使用者帳號，一旦看到有陌生的使用者帳號或不信任使用者帳號存在時，我們可以將它選中並單擊“刪除”按鈕，將它從系統中刪除掉;接著單擊對應設定介面中的“添加”按鈕，開啟使用者帳號設定對話方塊，從中將指定的管理使用者帳號選中並添加進來，再單擊“確定”按鈕結束使用者帳號設定作業，如此一來Windows Server 2008伺服器系統日後只允許指定的系統管理員對其進行遠端管理操作，而不允許其他任何使用者對其進行遠端控制操作。 

　　2、拒絕Administrator進行攻擊測試 

　　與傳統伺服器作業系統一樣，Windows Server 2008伺服器系統在預設狀態下仍然會使用Administrator帳號來完成系統登入操作，正因如此Administrator帳號特別容易被一些非法攻擊者利用，他們企圖通過破解Administrator帳號的密碼來登入伺服器，並嘗試對其進行攻擊測試。為了拒絕非法攻擊者使用Administrator帳號進行攻擊測試，我們可以按照如下步驟設定Windows Server 2008伺服器系統： 

　　首先在Windows Server 2008伺服器系統案頭中依次單擊“開始”/“運行”命令，在彈出的系統運行文字框中，輸入“Secpol.msc”字串命令，單擊斷行符號鍵後，開啟對應系統的本地安全性群組策略控制台視窗; 

　　其次在本地安全性群組策略控制台視窗的左側顯示地區，將滑鼠定位於其中的“安全設定”節點選項，在目標節點分支下面選中“本地策略”/“安全選項”，在對應“安全選項”分支下面找到目標安全性群組策略“帳戶：重新命名系統管理員帳戶”，並用滑鼠右鍵單擊該組策略選項，從其後出現的捷徑功能表中執行“屬性”命令，開啟“帳戶：重新命名系統管理員帳戶”組策略屬性設定對話方塊;單擊該對話方塊中的“本地安全設定”標籤，開啟2所示的標籤設定頁面，在該頁面中我們可以將Administrator帳號的名稱修改為其他人不容易猜中的名稱，例如可以將其修改為“guanliyuan”，最後單擊“確定”按鈕儲存好上述設定作業，這樣一來非法攻擊者企圖通過Administrator帳號對Windows Server 2008伺服器系統進行攻擊測試時，就無法取得成功，那麼伺服器系統的安全效能就可以得到有效保證了。 

　　3、修改telnet連接埠保護遠端連線安全 

　　telnet命令是Windows Server 2008伺服器系統中預設的遠程登入程式，因為該程式是直接整合在伺服器系統中並且使用起來比較方便，所以網路系統管理員在管理伺服器時經常使用到該程式。不過，在使用telnet命令對伺服器系統進行遠端控制操作時，控制資訊往往是以明文方式在網路上傳輸的，一些惡意攻擊者很容易就能將類似帳號名稱和密碼這樣的控制資訊截獲走，同時telnet程式的身分識別驗證方式也存在明顯的弱點，那就是它特別容易受到其他人的攻擊。考慮到telnet命令對Windows Server 2008伺服器系統進行遠端控制時，一般會自動使用“23”這個預設的網路連接埠，並且該連接埠幾乎被所有人都熟悉，為了保護telnet遠端連線的安全性，我們只要按照下面的方法修改該程式預設的網路連接埠號碼碼，以阻止其他人隨意使用telnet命令對伺服器系統進行遠端控制操作： 

　　首先在Windows Server 2008伺服器系統案頭中依次單擊“開始”/“運行”命令，在彈出的系統運行文字框中，輸入“cmd”字串命令，單擊斷行符號鍵後，開啟對應系統的DOS命令列工作視窗; 

　　其次在DOS視窗的命令列提示符下，輸入字串命令“tlntadmn config port=2991”(其中“2991”是修改後的新連接埠號碼碼)，為了防止新設定的網路連接埠號碼碼與系統已有連接埠號碼碼存在衝突，我們必須確保這裡輸入的新連接埠號碼碼不能設定成已知系統服務的連接埠號碼碼;在確認上面的字串命令輸入正確後，單擊斷行符號鍵，telnet命令使用的連接埠號碼碼就會自動變成“2991”了，此時網路系統管理員必須知道新連接埠號碼碼，才能使用該程式對Windows Server 2008伺服器系統進行遠端控制操作。 

　　當然，我們不到伺服器現場，也能遠程修改Windows Server 2008伺服器系統的telnet程式連接埠號碼碼，我們只要在本地用戶端系統開啟DOS命令列工作視窗，在該視窗的命令列提示符下輸入字串命令“tlntadmn config \\server port=2991 -u xxx -p yyy ”(Server表示遠程伺服器系統的主機名稱或IP地址，port=2991要修改為的遠程登入連接埠號碼碼，xxx為登入伺服器系統的使用者名稱，yyy是對應使用者帳號的密碼，單擊斷行符號鍵後，遠程伺服器系統的telnet連接埠號碼碼就變成“2991”了。 

　　4、強行使用複雜密碼阻止暴力破解 

　　要是Windows Server 2008伺服器系統的遠程登入密碼設定得不夠複雜時，那麼非法遠端控制使用者就有可能通過暴力方式將該登入密碼成功破解掉。而事實上，不少網路系統管理員為了便於記憶，常常會將伺服器系統的遠程登入密碼設定得比較簡單，這無形之中給非法攻擊者提供了暴力破解的機會，遠端控制操作的安全性也會受到嚴重威脅。為此，我們可只要對Windows Server 2008伺服器系統進行如下設定作業，來啟用系統內建的密碼原則，強制使用者必須對遠端控制帳號設定比較複雜的密碼： 

首先在Windows Server 2008伺服器系統案頭中依次單擊“開始”/“程式”/“管理工具”命令，在其後出現的系統管理工具列表視窗中，用滑鼠雙擊其中的“本地安全性原則”表徵圖，開啟對應系統的本地安全設定對話方塊; 

　　其次在該設定對話方塊的左側顯示地區，用滑鼠選中其中的“賬戶策略”分支選項，然後再將目標分支選項下面的“密碼原則”子項選中，在對應“密碼原則”子項的右側顯示地區，我們會看到六個有關密碼的設定策略選項，用滑鼠雙擊其中的“密碼必須符合複雜性要求”組策略選項，開啟3所示的目標組策略屬性設定視窗; 

　　檢查其中的“已啟用”選項是否處於選中狀態，要是發現該選項還沒有被選中時，我們應該及時將它重新選中，再單擊“確定”按鈕儲存好上述設定作業，如此一來Windows Server 2008伺服器系統的遠程登入密碼設定得不夠複雜時，系統就會自動彈出相關提示; 

　　接下來，我們再對“強制密碼曆史”、“密碼長度最小值”、“用可還原的加密來儲存密碼”、“密碼最長使用到期日”、“密碼最短使用到期日”等策略進行按需修改，最後單擊“確定”按鈕完成所有設定作業，如此一來遠程登入密碼就能被強行設定得複雜了。

伺服器Windows Server 2008 遠端控制安全設定技巧