具有一定规模的局域网,其中的服务器和客户端不计其数,并且分布在各地,如何对它们实施高效管理呢?远程控制无疑是非常有效的方法,但是远程登录的安全性也是管理人员必须要面对的难题。当前的远程控制软件非常多,但一般都是基于C/S模式的,需要在客户端和服务器端做好安全部署。本文就以Windows系统集成的“远程桌面”、“Telnet”、“VPN”三个远程控制工具为例,说说如何加强其远程登录的安全性。
一、远程登录安全从系统帐户入手
利用“远程桌面”、“Telnet”、“VPN”进行远程登录,需要获得远程主机的帐户和密码,因此做好系统帐户的安全非常重要。
1、为系统帐户改名,防登录测试
Administrator和guest是Windows 2000/XP/2003默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解码而登录服务器。对此,我们可以通过为其改名进行防范。
administrator改名:“开始→运行”,在其中输入Secpol.msc回车打开本地安全组策略,在左侧窗格中依次展开“安全设置→本地策略→安全选项”,在右侧找到并双击打开“帐户:重命名系统管理员帐户”,然后在其中输入新的名称比如gslw即可。
图1
guest改名:在局域网中通过“网上邻居”进行文件共享时需要开启guest帐户,但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改名可防止类似的攻击,改名方法和administrator一样,在上面的组策略项下找到“帐户:重命名来宾帐户”,然后在其中输入新的名称即可。
2、启用密码策略,防暴力破解
如果系统的密码不复合型复杂性要求,就有可能被暴力破解。而用户常常为了方便记忆,密码总是比较简单。为此我们可以启用密码策略,强制用户设置复杂密码。
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法:执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口。打开“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。需要说明的是,“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认,不要去修改。
图2
3、启用帐户锁定,防恶意登录
当系统帐户密码不够“强壮”时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢?
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。其设置方法如下:
在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器,然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”,此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间,默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置,比如设置为5。
图3
二、严密部署,加强系统远程工具的安全性
1、“远程桌面”的安全措施
远程桌面是比较常用的服务器管理方式,但是开启“远程桌面”就好像系统打开了一扇门,人可以进来,苍蝇蚊子也可以进来。所以要做好安全措施。
(1).限制可登录的帐户
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。
图4