如何安全登陸企業Windows伺服器

作者：朱偉日期：2010-04-14

　 對于伺服器來說，安全性包括很多層面。但是登陸安全無疑是衆多層面中最基礎的、最關鍵的一個環節。而就是因為其比較基礎，在現實工作中反而容易被遺忘。筆者對此做了幾個總結，供大家參考。

　　一、學會使用Run As Administrator指令進行管理通路

　 在維護伺服器的時候，往往需要管理者的角色才能夠進行。當系統管理者以這個角色登陸到系統之後，可能中途會暫時離開。此時就容易被别有用心的人乘機利用。有時候，在使用網絡上任何伺服器之後登出管理者帳戶往往是比較乏味的工作，很多人都會忘記。如果管理者忘記登出或者因為暫時離開爾沒有退出管理者角色，那麼任何經過工作站的人員隻要他願意就可以破壞網絡基礎設施和伺服器系統。可見平台系統管理者以管理者的身份登陸到系統中去存在比較大的安全隐患。在這種情況下，該如何提高其安全性呢?

　 筆者認為，充分靈活使用Run As Administrator指令可以消除這種安全隐患。簡單的說，任何IT人員在平時登陸的時候都是以受限制的使用者登陸，如User組的角色。等到需要使用管理者角色來進行某些操作的時候，再通過Run AS Adminsitrator指令來改變權限。此時即使管理者維護任務結束後沒有登出，後果也不會很嚴重。因為控制台不會賦予路過的使用者全部伺服器和網絡的管理權限。其最多隻能夠運作管理者剛剛操作過的管理程式。而實際上過路人也很難了解前面的人操作哪些内容。

　 要實作這個安全措施，也比較簡單，隻需要按照如下的步驟操作即可。

　 第一步：先建立一個普通權限的使用者

　 系統管理者可以在本機上或者活動目錄計算機上建立一個普通角色的使用者。在日常的工作中主要通過這個使用者登陸到伺服器系統。等到需要運作一些必須具有管理者權限才能夠運作的程式，如計算機管理程式，則再通過Run As Adminsitrator指令來改變使用者的權限。

　 第二步：以管理者角色運作管理工具

　 當某個程式需要以管理者角色才能夠運作的時候，使用者不需要進行登出等操作。而隻需要選擇所需要運作的程式，然後選擇以Run As Adminsitrator角色運作即可。不過每次都這麼操作顯然有點麻煩。如果可以配置管理者的桌面以便在以後加入管理工具時讓每個快捷方式都自動提示正确的證書的話，顯然友善許多。要實作這個需求的話，可以按如下操作進行。如選擇計算機管理程式(注意不用打開)，由後右建選擇“屬性”，會打開如下的對話框。

　　

　 在打開的對話框中，選擇快捷方式頁籤，然後選擇進階。系統會打開一個“進階屬性”的對話框。在這個對話框中會看到一個“用管理者身份”運作的的選項。選中這個選項即可。以後在普通使用者身份下運作這個應用程式，系統不會提示使用者沒有權限運作這個程式。而是會自動打開一個對話框，要求使用者輸入管理者的帳戶與密碼。

　　特别提醒：

　 要更改這個快捷方式的屬性時，需要有管理者使用者的權限。即普通使用者角色無法進行如上的操作。是以需要管理者使用者在自己的角色中，先更改相關管理程式快捷方式的屬性。然後在普通使用者角色登陸時就會自動生效。其次需要注意的是，更改這個屬性之後，隻有快捷方式會受到影響。如果直接去打開源程式，而不是通過快捷方式打開，仍然不會有這個小國。通常情況下，都是管理者将常用的管理工具的快捷方式部署在桌面上，然後更改這個快捷方式的屬性。以後運作的時候，都直接通過輕按兩下桌面上的快捷方式來運作。而不是找到源程式的位置來打開。

　　二、拒絕某些使用者的本地登陸

　 對于某些伺服器來說，可能隻允許使用者遠端登入，而不允許本地登陸。如現在有一個檔案伺服器，對于大部分使用者來說，如普通的員工，其隻能夠遠端通路，而不能夠在本機上進行登陸。如此的話，就可以保證隻有特定的使用者可以在本機上登陸對伺服器進行維護，進而提高伺服器的安全。要實作這個安全措施的話，可以按如下幾個步驟來操作。

　 第一步：在伺服器上建立相關的角色

　 伺服器部署完成之後一般都會有一個伺服器角色與普通使用者角色。為此通常情況下，隻需要建立普通員工的角色。如可以按部門來設定角色。

　 第二步：指定拒絕本地登陸屬性

　 以上角色建立好之後，依次打開開始、所有程式、管理工具、本地安全政策。然後在節點視窗中，選擇“本地政策”、“使用者權限配置設定”。在右邊的視窗中，找到“拒絕本地登陸”選項，并輕按兩下打開。會彈開如下的對話框。

　 然後再将需要拒絕本地登陸的角色依次加入即可。

　 一般情況下隻允許兩個組本地登陸即可。分别是管理者組與普通使用者組。而普通使用者組中往往隻有一個使用者，其不是為普通員工所使用的，而仍然是管理者所采用的。這主要是根據第一個建議，管理者在剛開始登陸的時候，以普通使用者登陸。等到需要用到管理者權限的時候，再通過Run As Adminsitrator來進行轉換。

　　三、隻允許特定的計算機或者使用者可以遠端通路

　 某些伺服器可能隻允許特定的使用者或者計算機才可以通過網絡通路。如對于提供備份的伺服器來說，隻允許管理者可以遠端通路。其他使用者不能夠通過網絡來登陸。這可以提高備份伺服器的安全。要實作這個需求，也比較簡單。隻需要依次打開開始、所有程式、管理工具、本地安全政策。然後在節點視窗中，選擇“本地政策”、“使用者權限配置設定”。在右邊的視窗中，找到“從網絡通路此計算機”，然後選擇允許使用者通過網絡通路的角色即可，如下圖所示。

　 從以上的設定中可以看出，這些内容在操作的時候，其實并沒有難度。因為都是圖形化界面，操作非常容易。其實難就難在與在規劃伺服器與網絡安全的時候，很難想到這些内容。筆者認為管理者隻有養成一個“從小到大”的習慣性思維之後，才能夠切實做好伺服器的安全性設計。

                 http://technet.microsoft.com/zh-cn/ff629024.aspx