為了提高工作效率，相信很多網絡管理員都喜歡使用遠程控制方式來管理網絡，這種方式允許管理員在局域網的任何位置處對重要主機進行管理、維護，確保網絡能夠始終高效、穩(wěn)定運行。不過，在享受遠程控制帶給自己便利的同時，我們也容易遭遇遠程入侵安全威脅;為了讓遠程網絡控制的安全更上一層樓，本文現在就為各位朋友貢獻幾則安全防護技巧，希望下面內容能給大家?guī)韱l(fā)!

使用陌生端口進行遠程控制

為了讓網絡控制效率更高一些，很多人總喜歡借助遠程登錄功能來對遠程主機進行控制與管理;可是，在利用Telnet命令進行遠程登錄控制操作時，我們往往都是使用默認的“23”端口與遠程主機進行連接的，而這個默認的端口號碼很多時候會被非法攻擊者利用，從而可能會給遠程控制操作帶來安全威脅。為了讓遠程控制操作更加安全，我們可以自己動手，將默認的“23”端口修改成陌生的端口號碼，日后非法攻擊者由于不知道遠程控制端口號碼，那么他們自然也就不能對遠程控制操作帶來什么安全威脅了，下面是快速修改遠程登錄端口號碼的具體設置步驟：

首先以系統管理員權限進入目標遠程主機系統，打開該系統桌面中的“開始”菜單，從中點選“運行”命令，在彈出的系統運行對話框中，輸入字符串命令“cmd”，單擊“確定”按鈕后，進入對應系統的DOS命令行工作界面;

其次在該界面的命令行提示符下，輸入“tlntadmn config port=989”字符串命令，其中“989”為任意指定的一個遠程登錄端口號碼，該號碼不能與其他已開通端口號碼相同，單擊回車鍵后，對應系統的遠程控制端口號碼就從默認的“23”變成“989”了，如圖1所示。

圖1

成功修改好遠程控制端口號碼后，我們必須確保該陌生的端口號碼不能讓其他人知道;此外，我們日后需要通過telnet命令與目標主機系統建立遠程控制連接時，必須使用類似“telnet host port”這樣的命令方式，其中host為遠程主機的名稱或IP地址，port為新的控制端口號碼;例如，要遠程登錄到10.176.6.1主機時，我們可以在DOS命令行狀態(tài)執(zhí)行“telnet 10.176.6.1 989”字符串命令就可以了。 #p#

使用高級防火墻保護遠程連接

除了利用telnet功能對局域網中的重要主機進行遠程控制外，網絡管理員還可能會利用Windows系統自帶的遠程桌面連接功能來對重要主機進行網絡控制。為了防止普通用戶利用遠程桌面連接功能對局域網中的重要主機進行非法攻擊，我們可以想辦法來保護合法用戶的遠程桌面連接，禁止非法用戶與重要主機創(chuàng)建遠程桌面連接;在Windows Vista以上版本的系統環(huán)境中，我們可以利用系統自帶的高級安全防火墻功能，來保護合法用戶的遠程桌面連接，下面就是具體的設置步驟：

首先打開Windows Vista系統的“開始”菜單，從中點選“運行”命令，在彈出的系統運行對話框中，執(zhí)行字符串命令“mmc”，進入對應系統的控制臺界面;單擊該界面中的“文件”菜單項，從下拉菜單中點選“添加/刪除管理單元”選項，選中“可用管理單元”列表框中的“高級安全Windows防火墻”項目，同時單擊“添加”按鈕，再單擊“確定”按鈕;

其次選中Windows Vista系統控制臺界面左側位置處的“高級安全Windows防火墻”項目，打開高級安全防火墻主界面，單擊其中的“入站規(guī)則”功能選項，同時點擊該選項下面的“新規(guī)則”按鈕，彈出新建入站規(guī)則向導窗口;考慮到遠程桌面連接需要使用3389網絡端口，所以當新建入站規(guī)則向導窗口提示我們建立什么類型的規(guī)則時，我們應該毫不猶豫地將“端口”選項選中，以便創(chuàng)建控制遠程桌面連接端口的規(guī)則;

單擊“下一步”按鈕，依照提示選中“TCP協議”，同時將“特定本地端口”項目也選中，之后在對應文本框中正確填寫好遠程桌面連接端口號碼“3389”，在其后界面中選中“只允許安全連接”功能選項，以便只能局域網中特定的計算機進行遠程桌面連接;接下來系統屏幕會彈出如圖2所示的向導設置頁面，將其中的“只允許來自下列計算機的連接”項目選中，同時單擊“添加”按鈕，打開計算機選擇對話框，從中將我們認為值得信任的合法計算機名稱或IP地址選中并加入進來;

圖2

下面再將“域”、“專用”、“公用”等選項全部選中，同時為當前創(chuàng)建的安全規(guī)則設置一個合適的規(guī)則名稱，再點擊“完成”按鈕保存好入站規(guī)則的設置操作。如此一來，日后我們只能從局域網中的特定計算機中利用遠程桌面連接功能，來對重要主機進行遠程控制操作，其他計算機用戶在嘗試與局域網中的重要主機建立遠程桌面連接時，會受到對應系統高級安全防火墻的嚴格限制。 #p#

設置權限禁止隨意修改控制規(guī)則

前面我們也知道，在Windows Vista以上版本的系統環(huán)境中，我們可以利用高級安全防火墻功能自由定義各種各樣的安全規(guī)則，來確保網絡控制的絕對安全。不過，有一些高明的黑客為了穿越安全規(guī)則的限制，他們有時會想方設法修改高級安全防火墻的控制規(guī)則，以便取得非法控制權限;有鑒于此，我們可以嘗試按照下面的設置操作，來禁止普通用戶隨意修改高級安全防火墻的各種控制規(guī)則：

首先在Windows Vista系統桌面中依次點擊“開始”、“運行”選項，在系統運行框中輸入“regedit”字符串命令，單擊“確定”按鈕后進入對應本地系統的注冊表編輯界面;展開該界面左側位置處的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules分支選項，從該注冊表分支下面我們看到許多防火墻的安全規(guī)則都保存在其中;

圖3

很顯然，要是允許任何普通用戶隨意訪問FirewallRules分支選項下面的內容時，那么防火墻的安全規(guī)則可能會受到修改破壞，為此我們要想辦法禁止Everyone帳號對FirewallRules分支內容進行訪問。要做到這一點其實很簡單，我們只要將鼠標定位于FirewallRules分支選項上，再依次單擊注冊表編輯窗口菜單欄中的“編輯”/“權限”命令，在彈出的目標分支權限設置窗口中單擊“添加”按鈕，進入用戶帳號選擇設置框，將“Everyone”帳號選中并將導入進來;

接下來返回到用戶帳號列表框，將剛剛添加進來的“Everyone”帳號選中，同時將對應該帳號的“完全控制”權限設置為“拒絕”，再單擊“確定”按鈕保存好上述設置操作，這樣的話非法攻擊者日后就無法隨意修改Windows Vista系統的安全規(guī)則了，那么日后的網絡控制操作或許就能受到高級安全防火墻的保護了。 #p#

授權特定用進行遠程桌面連接

一般來說，屬于Administrator組的用戶在默認狀態(tài)下都能對局域網中的重要主機進行遠程桌面連接，但是在實際進行遠程控制的過程中，我們有時只允許一個特定用戶對重要主機進行遠程桌面連接，其他用戶哪怕是系統管理員也不能隨便對重要主機進行遠程控制，這樣可以保證重要主機的絕對安全。遇到這種情形時，我們可以對遠程桌面連接權限進行設置，讓其只賦予自己信任的特定用戶，下面就是具體的設置步驟：

首先以系統管理員權限進入局域網目標重要主機系統，用鼠標右鍵單擊該系統桌面中的“我的電腦”圖標，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開對應系統的屬性設置窗口;

其次單擊該設置窗口中的“遠程”選項卡，在對應選項設置頁面的“遠程桌面”位置處，選中“允許用戶遠程連接到這臺計算機”選項，同時單擊對應選項下面的“選擇遠程用戶”按鈕，打開如圖4所示的設置對話框，在這里我們發(fā)現凡是隸屬于Administrator組的用戶在默認狀態(tài)下都能通過遠程桌面連接功能對本地系統進行遠程控制;

圖4

為了保證遠程控制的絕對安全性，我們應該先將默認授權的Administrator組帳號選中，同時單擊“刪除”按鈕，取消Administrator組帳號的遠程桌面連接權限;之后，單擊“添加”按鈕，從彈出的用戶賬號選擇對話框中，將我們認為值得信任的特定賬號名稱選中并添加進來，再單擊“確定”按鈕執(zhí)行設置保存操作，這么一來日后只有指定的用戶才能通過遠程桌面連接功能對本地系統進行遠程控制，其他任何用戶包括網絡管理員都無法對其進行遠程控制操作，那么網絡控制的安全性也就能得到有效保證了。 #p#

設置策略謹防遠程竊取權限賬號

不少技術高明的非法攻擊者常常會通過登錄遠程目標系統的SID標識，來偷竊具有系統管理員權限的賬號名稱，日后再嘗試通過暴力破解的方法來獲取對應帳號的密碼，如此一來他們就有可能獲得整個系統的遠程控制權限，很顯然，要是遠程目標系統的系統管理員權限帳號名稱被他人偷竊得到的話，那么遠程主機系統的安全性就可能會受到威脅了。為了謹防非法攻擊者偷竊遠程主機系統的系統管理員帳號名稱，我們可以按照下面的方法修改遠程主機系統的組策略參數：

首先以系統管理員權限帳號進入遠程主機系統，打開該系統桌面中的“開始”菜單，從中單擊“運行”命令，打開對應系統的運行文本框，在其中輸入“gpedit.msc”字符串命令，進入遠程主機系統的組策略控制臺界面;

其次展開該控制臺界面左側位置處的“計算機配置”/“Windows設置”/“安全設置”/“本地策略”/“安全選項”組策略分支，并用鼠標雙擊目標分支下面的“網絡訪問：允許匿名SID/名稱轉換”選項，彈出如圖5所示的組策略屬性窗口，選中該窗口中的“已禁用”選項，再單擊“確定”按鈕保存好上述設置操作，如此一來任何用戶都將不能通過SID標識來遠程偷竊本地系統的系統管理員權限賬號名稱了，那么本地系統的安全性也就得到有效保證了。

圖5

【編輯推薦】

1. 遠程控制網絡共享設備輕松實現
2. 應用技巧：如何應付遠程控制服務器失敗