遠(yuǎn)程登錄進(jìn)行服務(wù)器的管理和維護(hù)是管理員的日常工作之一，如何保障遠(yuǎn)登錄的安全性也是大家必須要考慮的問(wèn)題。本文將從帳戶(hù)管理和登錄工具的安全部署兩個(gè)方面入手，談?wù)勅绾螌?shí)現(xiàn)服務(wù)的安全登錄。
 
一、嚴(yán)密設(shè)置加強(qiáng)帳戶(hù)安全

1、帳戶(hù)改名

Administrator和guest是Server 2003默認(rèn)的系統(tǒng)帳戶(hù)，正因如此它們是最可能被利用，攻擊者通過(guò)破解密碼而登錄服務(wù)器。對(duì)此，我們可以通過(guò)為其改名進(jìn)行防范。
administrator改名：“開(kāi)始→運(yùn)行”，在其中輸入Secpol.msc回車(chē)打開(kāi)本地安全組策略，在左側(cè)窗格中依次展開(kāi)“安全設(shè)置→本地策略→安全選項(xiàng)”，在右側(cè)找到并雙擊打開(kāi)“帳戶(hù)：重命名系統(tǒng)管理員帳戶(hù)”，然后在其中輸入新的名稱(chēng)比如gslw即可。(圖1)

   
guest改名：作為服務(wù)器一般是不開(kāi)啟guest帳戶(hù)的，但是它往往被入侵者利用。比如啟用guest后將其加入到管理員組實(shí)施后期的控制。我們通過(guò)改名可防止類(lèi)似的攻擊，改名方法和administrator一樣，在上面的組策略項(xiàng)下找到“帳戶(hù)：重命名來(lái)賓帳戶(hù)”，然后在其中輸入新的名稱(chēng)即可。

2、密碼策略
 
密碼策略作用于域帳戶(hù)或本地帳戶(hù)，其中就包含以下幾個(gè)方面：強(qiáng)制密碼歷史，密碼最長(zhǎng)使用期限，密碼最短使用期限，密碼長(zhǎng)度最小值，密碼必須符合復(fù)雜性要求，用可還原的加密來(lái)存儲(chǔ)密碼。
　　
對(duì)于本地計(jì)算機(jī)的用戶(hù)帳戶(hù)，其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個(gè)中進(jìn)行的。下面是具體的配置方法：執(zhí)行“開(kāi)始→管理工具→本地安全策略”打開(kāi)“本地安全設(shè)置”窗口。打開(kāi)“用戶(hù)策略”選項(xiàng)，然后再選擇“密碼策略”選項(xiàng)，在右邊詳細(xì)信息窗口中將顯示可配置的密碼策略選項(xiàng)的當(dāng)前配置。然后雙擊相應(yīng)的項(xiàng)打開(kāi)“屬性”后進(jìn)行配置。需要說(shuō)明的是，“強(qiáng)制密碼歷史”和“用可還原的加密來(lái)儲(chǔ)存密碼”這兩項(xiàng)密碼策略最好保持默認(rèn)，不要去修改。(圖2)

   
3、帳戶(hù)鎖定
　　
當(dāng)服務(wù)器帳戶(hù)密碼不夠“強(qiáng)壯”時(shí)，非法用戶(hù)很容易通過(guò)多次重試“猜”出用戶(hù)密碼而登錄系統(tǒng)，存在很大的安全風(fēng)險(xiǎn)。那如何來(lái)防止黑客猜解或者爆破服務(wù)器密碼呢?
　　
其實(shí)，要避免這一情況，通過(guò)組策略設(shè)置帳戶(hù)鎖定策略即可完美解決。此時(shí)當(dāng)某一用戶(hù)嘗試登錄系統(tǒng)輸入錯(cuò)誤密碼的次數(shù)達(dá)到一定閾值即自動(dòng)將該帳戶(hù)鎖定，在帳戶(hù)鎖定期滿(mǎn)之前，該用戶(hù)將不可使用，除非管理員手動(dòng)解除鎖定。其設(shè)置方法如下：

在開(kāi)始菜單的搜索框輸入“Gpedit.msc”打開(kāi)組策略對(duì)象編輯器，然后依次點(diǎn)擊定位到“計(jì)算機(jī)設(shè)置→Windows設(shè)置→安全設(shè)置→帳戶(hù)策略→帳戶(hù)鎖定策略”策略項(xiàng)下。雙擊右側(cè)的“帳戶(hù)鎖定閾值”，此項(xiàng)設(shè)置觸發(fā)用戶(hù)帳戶(hù)被鎖定的登錄嘗試失敗的次數(shù)。該值在0到999之間，默認(rèn)為0表示登錄次數(shù)不受限制。大家可以根據(jù)自己的安全策略進(jìn)行設(shè)置，比如設(shè)置為5。(圖3)

 
二、安全登錄服務(wù)器
　　
遠(yuǎn)程桌面
　　
遠(yuǎn)程桌面是比較常用的服務(wù)器管理方式，但是開(kāi)啟“遠(yuǎn)程桌面”就好像系統(tǒng)打開(kāi)了一扇門(mén)，人可以進(jìn)來(lái)，蒼蠅蚊子也可以進(jìn)來(lái)。所以要做好安全措施。
　　
用戶(hù)限制
 
點(diǎn)擊“遠(yuǎn)程桌面”下方的“選擇用戶(hù)”按鈕，然后在“遠(yuǎn)程桌面用戶(hù)” 窗口中點(diǎn)擊“添加”按鈕輸入允許的用戶(hù)，或者通過(guò)“高級(jí)→立即查找”添加用戶(hù)。由于遠(yuǎn)程登錄有一定的安全風(fēng)險(xiǎn)，管理員一定要嚴(yán)格控制可登錄的帳戶(hù)。
    
 

您正在閱讀：如何保證遠(yuǎn)程登錄服務(wù)器安全

【編輯推薦】

1. 如何保護(hù)合法的DHCP服務(wù)器
2. 挖掘Vista的潛能 動(dòng)動(dòng)手Vista變服務(wù)器
3. 使用Linux on Power刀片服務(wù)器實(shí)現(xiàn)復(fù)雜的網(wǎng)絡(luò)