Win2003服務器组网安全管理全攻略.docVIP

Win2003服务器组网、安全管理 全攻略 Win2003服务器组网、安全管理全攻略(2) 3389终端服务器的安全配置： 在本文第二节中，我们已经介绍了在Windows组件向导里安装3389终端服务器的方法，我们只须在Windows组件向导里勾选终端服务就可以使用终端服务远程管理服务器了。相信大家都玩过了3389的肉鸡，网络上大部份被黑客入侵的空口令肉鸡因为开放了3389终端远程管理服务，而被黑客不费吹灰之力就能取得远程管理权。 因为黑客们都是使用如 X-scan 等漏洞扫描软件，只要黑客扫描3389端口的机器，你的终端服务器就会暴露在黑客的眼前，那就对你的服务器存在一定的危险性。3389终端远程管理服务默认的情况下是开放3389端口的，只要我们终端服务默认开放的端口号改一下，那么黑客就很难猜测我们的服务器是否开放终端服务了。 修改终端服务器端口号是通过修改Windows2003的注册表来实现的，我们只要修改注册表中的其中一项键值即可。点击“开始菜单→运行”在运行里输入 REGEDIT 命令，启动注册表编辑器，然后打开如下键值： [ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\ 找到如下键名 PortNumber ，双击打开修改键值，然后选择“十进制(D)”，将原来的3389端口号改为你想更换的端口号，本例中我们把端口改为7890，如下图（图12）所示： ? 在端口号修改完毕后，我们重新启动计算机使修改的端口号生效，这样别人就没法使用3389端口连接你的服务器了，重启完成后，我们以后如想连接终端服务器，可打开终端服务客户端软件，然后在计算机(C)的右栏中输入你服务器的IP地址及端口号即可登陆你的终端服务器，假设我们的服务器IP地址为 ，那么我们只要在输入框中输入如下地址即可登陆终端服务器“:7890 ”其中IP与端口号用“:”分隔开。如下图（图13）所示： （图13） 当登陆成功后，会出现以下成功登陆窗口，如图（图14）所示： 14） （图 至此终端服务器端口修改成功。 8、用IE远程管理服务器： 黑防在上期杂志上刊登了Win2003的Web安全远程管理一文，以下作一些补充，详细安装远程WEB管理过程及基本功能请看上期黑防杂志《Win2003的Web安全远程管理》。在这里我们需要补充的是基于WEB管理中的终端服务，就是说我们可以通过任何一台客户机的IE浏览器直接进行远程桌面连接，而不再依赖任何的终端服务客户端工具登陆Win2003的终端服务了。 现在假设我们客户机使用的是Win98系统，服务器的IP地址这 ，我们可在IE地址栏中输入地址：“ :8089 ”，其中8089是远程管理的 Web 界面下的SSL端口，然后输入管理员的用户名和密码并回车即可登陆Web远程管理界面。在打开的“服务管理”界面中，点击“维护”再点击“远程桌面”按钮，就会弹出一个远程桌面管理维护的终端窗口，现在就可以连接到远程服务器的桌面了。在该窗口中，你只要输入管理员的用户名及密码，就能成功登陆远程桌面，就像你登陆3389终端服务一样。如上图（图14）所示。 无论是3389终端服务还是WEB远程桌面管理，都是只能允许同时两个连接会话，如果已经有两个以上会话在进行，则新用户将被拒绝进行远程桌面管理登陆。必须要等正在登陆的原来两个用户其中一个退出登陆会话后，你才能登陆服务器远程桌面进行管理。 9、FTP服务器配置： 在本文第二节中，我们已经介绍了在Windows组件向导里安装FTP服务器的方法，现在我们开始使用Win2003系统自带的FTP服务架设一台安全的FTP服务器。 步骤1、为FTP服务器建立一个安全的专用FTP帐号： 点击“开始菜单→管理工具→计算机管理”，这里弹出一个计算机管理窗口，我们在里面建立一个供FTP客户端登陆的帐号，双击左栏中的“本地用户和组”然后在右栏中点击鼠标右键，选择“新建”命令，就会弹出一个新用户建立窗口，现在我们建立一个用户，在这里我们建立一个用户名为 cnhack 的帐号，密码为chinanetpk ，并去除“用户下次登陆时须更改密码”的选项，勾选“用户不能更改密码”及“密码永不过期”选项。然后点击“创建”按钮，就创建了一个用户名为 cnhack 的用户。如下图（图15）所示：1 5） （图 为了服务器安装着想，我们还须进行如下安全设置，在默认的情况下，我们建立的用户帐号为 Users 组用户，虽然普通用户组对服务器安全影响不大，但我们还是把这个用户所属的 Users 组删除，把刚建立的 cnhack 用户添加到 Guests 用户组，