从系统入手加强远程控制的安全.docVIP

　　从系统入手加强远程控制的安全～教育资源库 　　具有一定规模的局域网，其中的服务器和客户端不计其数，并且分布在各地，如何对它们实施高效管理呢?远程控制无疑是非常有效的方法，但是远程登录的安全性也是管理人员必须要面对的难题。当前的远程控制软件非常多，但一般都是基于C/S模式的，需要在客户端和服务器端做好安全部署。本文就以sc回车打开本地安全组策略，在左侧窗格中依次展开安全设置rarr;本地策略rarr;安全选项，在右侧找到并双击打开帐户：重命名系统管理员帐户，然后在其中输入新的名称比如gslinistrator一样，在上面的组策略项下找到帐户：重命名来宾帐户，然后在其中输入新的名称即可。 　　2、启用密码策略，防暴力破解 　　如果系统的密码不复合型复杂性要求，就有可能被暴力破解。而用户常常为了方便记忆，密码总是比较简单。为此我们可以启用密码策略，强制用户设置复杂密码。 　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。 　　对于本地计算机的用户帐户，其密码策略设置是在本地安全设置管理工个中进行的。下面是具体的配置方法：执行开始rarr;管理工具rarr;本地安全策略打开本地安全设置窗口。打开用户策略选项，然后再选择密码策略选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开属性后进行配置。需要说明的是，强制密码历史和用可还原的加密来储存密码这两项密码策略最好保持默认，不要去修改。 　　图2 　　3、启用帐户锁定，防恶意登录 　　当系统帐户密码不够强壮时，非法用户很容易通过多次重试猜出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢? 　　其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下： 　　在开始菜单的搜索框输入Gpedit.msc打开组策略对象编辑器，然后依次点击定位到计算机设置rarr;Windows设置rarr;安全设置rarr;帐户策略rarr;帐户锁定策略策略项下。双击右侧的帐户锁定阈值，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置，比如设置为5。 　　图3 　　二、严密部署，加强系统远程工具的安全性 　　1、远程桌面的安全措施 　　远程桌面是比较常用的服务器管理方式，但是开启远程桌面就好像系统打开了一扇门，人可以进来，苍蝇蚊子也可以进来。所以要做好安全措施。 　　(1).限制可登录的帐户 　　点击远程桌面下方的选择用户按钮，然后在远程桌面用户 窗口中点击添加按钮输入允许的用户，或者通过高级rarr;立即查找添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。 　　图4 　　(2).更改默认端口 　　远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行，打开注册表编辑器，定位到如下注册表项： 123下一页 友情提醒：，特别！ 　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Serverber的值改为其它的值比如9833，需要说明的是该值是十六进制的，更改时双击PortNumber点选十进制，然后输入9833。 　　图5 　　2、加强Tel连接的安全 　　Tel是命令行下的远程登录工具，因为是系统集成并且操作简单，所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到中间人(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强tel的安全性。 　　(1).修改默认端口 　　本地修改2003服务器的tel端口方法是:开始rarr;运行输入cmd打开命令提示符，然后运行命令tlntadmn config port=800(800是修改后的tel端口，为了避免端口冲突不用设置成已知服务的端口。 　　图6 　　当然，我们也可以远程修改服务器的tel端口，在命令提示符下输入