Windows服務(wù)器對(duì)于網(wǎng)絡(luò)管理員的重要性來說是不言而喻的，但是關(guān)于Windows服務(wù)器的安全性方面，如何才能安全登陸是管理員最基礎(chǔ)的了解。具體內(nèi)容如下所述。

對(duì)于服務(wù)器來說，安全性包括很多層面。但是登陸安全無疑是眾多層面中最基礎(chǔ)的、最關(guān)鍵的一個(gè)環(huán)節(jié)。而就是因?yàn)槠浔容^基礎(chǔ)，在現(xiàn)實(shí)工作中反而容易被遺忘。筆者對(duì)此做了幾個(gè)總結(jié)，供大家參考。

一、學(xué)會(huì)使用Run As Administrator命令進(jìn)行管理訪問

在維護(hù)服務(wù)器的時(shí)候，往往需要管理員的角色才能夠進(jìn)行。當(dāng)系統(tǒng)管理員以這個(gè)角色登陸到系統(tǒng)之后，可能中途會(huì)暫時(shí)離開。此時(shí)就容易被別有用心的人乘機(jī)利用。有時(shí)候，在使用網(wǎng)絡(luò)上任何服務(wù)器之后注銷管理員帳戶往往是比較乏味的工作，很多人都會(huì)忘記。如果管理員忘記注銷或者因?yàn)闀簳r(shí)離開爾沒有退出管理員角色，那么任何經(jīng)過工作站的人員只要他愿意就可以破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)器系統(tǒng)。可見平臺(tái)系統(tǒng)管理員以管理員的身份登陸到系統(tǒng)中去存在比較大的安全隱患。在這種情況下，該如何提高其安全性呢?

筆者認(rèn)為，充分靈活使用Run As Administrator命令可以消除這種安全隱患。簡單的說，任何IT人員在平時(shí)登陸的時(shí)候都是以受限制的用戶登陸，如User組的角色。等到需要使用管理員角色來進(jìn)行某些操作的時(shí)候，再通過Run AS Adminsitrator命令來改變權(quán)限。此時(shí)即使管理員維護(hù)任務(wù)結(jié)束后沒有注銷，后果也不會(huì)很嚴(yán)重。因?yàn)榭刂婆_(tái)不會(huì)賦予路過的用戶全部服務(wù)器和網(wǎng)絡(luò)的管理權(quán)限。其最多只能夠運(yùn)行管理員剛剛操作過的管理程序。而實(shí)際上過路人也很難了解前面的人操作哪些內(nèi)容。

要實(shí)現(xiàn)這個(gè)安全措施，也比較簡單，只需要按照如下的步驟操作即可。

第一步：先創(chuàng)建一個(gè)普通權(quán)限的用戶

系統(tǒng)管理員可以在本機(jī)上或者活動(dòng)目錄計(jì)算機(jī)上創(chuàng)建一個(gè)普通角色的用戶。在日常的工作中主要通過這個(gè)用戶登陸到服務(wù)器系統(tǒng)。等到需要運(yùn)行一些必須具有管理員權(quán)限才能夠運(yùn)行的程序，如計(jì)算機(jī)管理程序，則再通過Run As Adminsitrator命令來改變用戶的權(quán)限。

第二步：以管理員角色運(yùn)行管理工具

當(dāng)某個(gè)程序需要以管理員角色才能夠運(yùn)行的時(shí)候，用戶不需要進(jìn)行注銷等操作。而只需要選擇所需要運(yùn)行的程序，然后選擇以Run As Adminsitrator角色運(yùn)行即可。不過每次都這么操作顯然有點(diǎn)麻煩。如果可以配置管理員的桌面以便在以后加入管理工具時(shí)讓每個(gè)快捷方式都自動(dòng)提示正確的證書的話，顯然方便許多。要實(shí)現(xiàn)這個(gè)需求的話，可以按如下操作進(jìn)行。如選擇計(jì)算機(jī)管理程序(注意不用打開)，由后右建選擇“屬性”，會(huì)打開如下的對(duì)話框。

在打開的對(duì)話框中，選擇快捷方式選項(xiàng)卡，然后選擇高級(jí)。系統(tǒng)會(huì)打開一個(gè)“高級(jí)屬性”的對(duì)話框。在這個(gè)對(duì)話框中會(huì)看到一個(gè)“用管理員身份”運(yùn)行的的選項(xiàng)。選中這個(gè)選項(xiàng)即可。以后在普通用戶身份下運(yùn)行這個(gè)應(yīng)用程序，系統(tǒng)不會(huì)提示用戶沒有權(quán)限運(yùn)行這個(gè)程序。而是會(huì)自動(dòng)打開一個(gè)對(duì)話框，要求用戶輸入管理員的帳戶與密碼。

特別提醒：

要更改這個(gè)快捷方式的屬性時(shí)，需要有管理員用戶的權(quán)限。即普通用戶角色無法進(jìn)行如上的操作。所以需要管理員用戶在自己的角色中，先更改相關(guān)管理程序快捷方式的屬性。然后在普通用戶角色登陸時(shí)就會(huì)自動(dòng)生效。其次需要注意的是，更改這個(gè)屬性之后，只有快捷方式會(huì)受到影響。如果直接去打開源程序，而不是通過快捷方式打開，仍然不會(huì)有這個(gè)小國。通常情況下，都是管理員將常用的管理工具的快捷方式部署在桌面上，然后更改這個(gè)快捷方式的屬性。以后運(yùn)行的時(shí)候，都直接通過雙擊桌面上的快捷方式來運(yùn)行。而不是找到源程序的位置來打開。

二、拒絕某些用戶的本地登陸

對(duì)于某些服務(wù)器來說，可能只允許用戶遠(yuǎn)程登錄，而不允許本地登陸。如現(xiàn)在有一個(gè)文件服務(wù)器，對(duì)于大部分用戶來說，如普通的員工，其只能夠遠(yuǎn)程訪問，而不能夠在本機(jī)上進(jìn)行登陸。如此的話，就可以保證只有特定的用戶可以在本機(jī)上登陸對(duì)服務(wù)器進(jìn)行維護(hù)，從而提高服務(wù)器的安全。要實(shí)現(xiàn)這個(gè)安全措施的話，可以按如下幾個(gè)步驟來操作。

第一步：在服務(wù)器上建立相關(guān)的角色

服務(wù)器部署完成之后一般都會(huì)有一個(gè)服務(wù)器角色與普通用戶角色。為此通常情況下，只需要建立普通員工的角色。如可以按部門來設(shè)置角色。

第二步：指定拒絕本地登陸屬性

以上角色建立好之后，依次打開開始、所有程序、管理工具、本地安全策略。然后在節(jié)點(diǎn)窗口中，選擇“本地策略”、“用戶權(quán)限分配”。在右邊的窗口中，找到“拒絕本地登陸”選項(xiàng)，并雙擊打開。會(huì)彈開如下的對(duì)話框。

然后再將需要拒絕本地登陸的角色依次加入即可。

特別提醒：

一般情況下只允許兩個(gè)組本地登陸即可。分別是管理員組與普通用戶組。而普通用戶組中往往只有一個(gè)用戶，其不是為普通員工所使用的，而仍然是管理員所采用的。這主要是根據(jù)第一個(gè)建議，管理員在剛開始登陸的時(shí)候，以普通用戶登陸。等到需要用到管理員權(quán)限的時(shí)候，再通過Run As Adminsitrator來進(jìn)行轉(zhuǎn)換。

三、只允許特定的計(jì)算機(jī)或者用戶可以遠(yuǎn)程訪問

某些服務(wù)器可能只允許特定的用戶或者計(jì)算機(jī)才可以通過網(wǎng)絡(luò)訪問。如對(duì)于提供備份的服務(wù)器來說，只允許管理員可以遠(yuǎn)程訪問。其他用戶不能夠通過網(wǎng)絡(luò)來登陸。這可以提高備份服務(wù)器的安全。要實(shí)現(xiàn)這個(gè)需求，也比較簡單。只需要依次打開開始、所有程序、管理工具、本地安全策略。然后在節(jié)點(diǎn)窗口中，選擇“本地策略”、“用戶權(quán)限分配”。在右邊的窗口中，找到“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”，然后選擇允許用戶通過網(wǎng)絡(luò)訪問的角色即可，如下圖所示。

從以上的設(shè)置中可以看出，這些內(nèi)容在操作的時(shí)候，其實(shí)并沒有難度。因?yàn)槎际菆D形化界面，操作非常容易。其實(shí)難就難在與在規(guī)劃服務(wù)器與網(wǎng)絡(luò)安全的時(shí)候，很難想到這些內(nèi)容。筆者認(rèn)為管理員只有養(yǎng)成一個(gè)“從小到大”的習(xí)慣性思維之后，才能夠切實(shí)做好服務(wù)器的安全性設(shè)計(jì)。

企業(yè)Windows服務(wù)器安全登陸的方法本文已經(jīng)介紹了，希望能夠?qū)Υ蠹矣兴鶐椭?/p>

【編輯推薦】

1. 服務(wù)器故障解決三則
2. 網(wǎng)絡(luò)服務(wù)器配置實(shí)例一
3. 網(wǎng)絡(luò)服務(wù)器配置實(shí)例二
4. 網(wǎng)絡(luò)服務(wù)器配置的試題及答案
5. 校園流媒體網(wǎng)絡(luò)服務(wù)器配置解析