黑龍江 汪穎 郝龍海
通過遠(yuǎn)程桌面設(shè)置 加強(qiáng)校園服務(wù)器的安全性
黑龍江 汪穎 郝龍海
憑借安全優(yōu)勢(shì),Windows Server 2008系統(tǒng)在校園中被廣泛使用。但是,這并不意味著Windows Server 2008系統(tǒng)的安全性就能讓人高枕無憂了,當(dāng)我們開啟了該系統(tǒng)自帶的遠(yuǎn)程桌面功能后,Windows Server 2008系統(tǒng)的安全問題隨即就凸顯出來了,如果我們不對(duì)遠(yuǎn)程桌面功能進(jìn)行合適設(shè)置,那么Windows Server 2008服務(wù)器系統(tǒng)受到非法攻擊的可能性就會(huì)加大。為了讓W(xué)indows Server 2008系統(tǒng)更安全,本文總結(jié)了幾則遠(yuǎn)程桌面功能的安全設(shè)置。
遠(yuǎn)程桌面;校園;服務(wù)器;Windows Server 2008;安全性
盡管傳統(tǒng)操作系統(tǒng)也具有遠(yuǎn)程桌面功能,不過Windows Server 2008系統(tǒng)對(duì)遠(yuǎn)程桌面功能的安全性能進(jìn)行了強(qiáng)化,它允許網(wǎng)絡(luò)管理員通過合適設(shè)置來強(qiáng)迫遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證,以防止一些非法用戶也趁機(jī)使用遠(yuǎn)程桌面功能來入侵Windows Server 2008服務(wù)器系統(tǒng)。要實(shí)現(xiàn)強(qiáng)迫遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證操作時(shí),我們必須按照如下步驟來設(shè)置Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接參數(shù):
首先以超級(jí)用戶的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng),打開對(duì)應(yīng)系統(tǒng)的“開始”菜單,從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng),打開本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口。
其次將鼠標(biāo)定位于服務(wù)器管理器控制臺(tái)窗口左側(cè)顯示區(qū)域中的“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)上,在對(duì)應(yīng)“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)的右側(cè)顯示區(qū)域,單擊“服務(wù)器摘要”設(shè)置區(qū)域中的“配置遠(yuǎn)程桌面”鏈接,打開服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對(duì)話框。
在該設(shè)置對(duì)話框的“遠(yuǎn)程桌面”處,服務(wù)器系統(tǒng)共為我們提供了三個(gè)設(shè)置選項(xiàng),如果我們想讓局域網(wǎng)中的任何一臺(tái)普通計(jì)算機(jī)都能順利使用遠(yuǎn)程桌面連接來遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)時(shí),那應(yīng)該將“允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接”功能選項(xiàng)選中,當(dāng)然這種功能選項(xiàng)容易對(duì)Windows Server 2008服務(wù)器系統(tǒng)的運(yùn)行安全性帶來麻煩。
為了讓我們能夠安全地使用遠(yuǎn)程桌面功能來遠(yuǎn)程控制服務(wù)器,Windows Server 2008系統(tǒng)推出了“只允許運(yùn)行帶網(wǎng)絡(luò)級(jí)身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”這一控制選項(xiàng),我們只要將該控制選項(xiàng)選中,再單擊“確定”按鈕保存好設(shè)置操作,日后Windows Server 2008系統(tǒng)就會(huì)自動(dòng)強(qiáng)制對(duì)任何一位遠(yuǎn)程桌面連接用戶執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證操作了,這樣非法用戶自然也就不能輕易通過遠(yuǎn)程桌面連接功能來非法攻擊Windows Server 2008服務(wù)器系統(tǒng)了。
要是開通了Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能,本地服務(wù)器中也就多開了一扇后門,有權(quán)限的用戶能進(jìn)來,沒有權(quán)限的用戶同樣也能進(jìn)來,如此一來本地服務(wù)器系統(tǒng)的運(yùn)行安全性自然就容易受到威脅。事實(shí)上,我們可以對(duì)Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能進(jìn)行合適設(shè)置,讓有遠(yuǎn)程管理需求的特定用戶能從遠(yuǎn)程桌面這扇后門中進(jìn)來,其他任何用戶都不允許自由進(jìn)出,那樣的話Windows Server 2008服務(wù)器系統(tǒng)受到非法攻擊的可能性就會(huì)大大降低了;要想讓特定用戶使用遠(yuǎn)程桌面功能,我們可以按照如下操作來設(shè)置Windows Server 2008服務(wù)器系統(tǒng):
首先打開Windows Server 2008服務(wù)器系統(tǒng)的“開始”菜單,從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng),進(jìn)入本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口。
其次單擊服務(wù)器管理器控制臺(tái)窗口右側(cè)區(qū)域中的“配置遠(yuǎn)程桌面”鏈接選項(xiàng),打開服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對(duì)話框,單擊該對(duì)話框中的“選擇用戶”按鈕,系統(tǒng)屏幕上將會(huì)出現(xiàn)設(shè)置窗口。
將該設(shè)置窗口中已經(jīng)存在的用戶賬號(hào)全部選中,并單擊“刪除”按鈕;之后,再單擊“添加”按鈕,在其后出現(xiàn)的用戶賬號(hào)瀏覽對(duì)話框中,找到有遠(yuǎn)程管理需求的特定用戶賬號(hào),并將該賬號(hào)選中添加進(jìn)來,再單擊“確定”按鈕退出設(shè)置操作,這樣的話任何一位普通用戶日后都不能使用遠(yuǎn)程桌面功能來對(duì)Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程管理了,而只有在這里設(shè)置的特定用戶才有權(quán)限通過遠(yuǎn)程桌面連接訪問目標(biāo)服務(wù)器系統(tǒng)。
在缺省狀態(tài)下,Windows Server 2008服務(wù)器系統(tǒng)允許administrator賬號(hào)使用遠(yuǎn)程桌面功能,為了防止非法攻擊者嘗試使用該用戶賬號(hào)來攻擊本地服務(wù)器系統(tǒng),我們可以按照下面的操作來禁止administrator賬號(hào)通過遠(yuǎn)程桌面連接來訪問Windows Server 2008服務(wù)器系統(tǒng)。
由于從服務(wù)器系統(tǒng)中無法直接刪除administrator賬號(hào),為此我們可以采用最為極端的方法,那就是將administrator賬號(hào)強(qiáng)行禁用;禁用該用戶賬號(hào)最簡(jiǎn)單的方法就是先依次單擊服務(wù)器系統(tǒng)桌面中的“開始”/“程序”/“附件”選項(xiàng),從下拉菜單中選中“命令提示符”命令,并用鼠標(biāo)右鍵單擊該命令選項(xiàng),再執(zhí)行右鍵菜單中的“以管理員身份運(yùn)行”命令,打開Windows Server 2008系統(tǒng)的MS-DOS工作窗口,在該窗口的命令行中執(zhí)行字符串命令“net user administrator/active:no”就可以了。
不過,上面的方法往往會(huì)影響網(wǎng)絡(luò)管理員正常管理服務(wù)器系統(tǒng),為此我們還可以通過為administrator賬號(hào)更名的方式,來禁止administrator使用Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接:
首先以超級(jí)用戶的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng),依次單擊該系統(tǒng)桌面中的“開始”/“運(yùn)行”命令,在彈出的系統(tǒng)運(yùn)行對(duì)話框中,輸入字符串命令“gpedit.msc”,單擊“確定”按鈕,打開本地服務(wù)器系統(tǒng)的組策略編輯控制臺(tái)窗口。
其次在該控制臺(tái)窗口的左側(cè)列表區(qū)域中,將鼠標(biāo)定位于“計(jì)算機(jī)配置”分支選項(xiàng)上,再?gòu)脑摲种旅嬉来握归_“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”,在對(duì)應(yīng)“安全選項(xiàng)”的右側(cè)顯示區(qū)域中,雙擊“帳戶:重命名系統(tǒng)管理員”目標(biāo)組策略選項(xiàng),打開選項(xiàng)設(shè)置窗口,在該窗口中我們就能將administrator的名稱修改成其他人不容易猜中的賬號(hào)名稱,最后單擊“確定”按鈕就能使設(shè)置生效了。
(作者單位:黑龍江護(hù)理高等專科學(xué)校)
(編輯 李艷華)