遠端登入進行伺服器的管理和維護是管理者的日常工作之一,如何保障遠登入的安全性也是大家必須要考慮的問題。本文将從帳戶管理和登入工具的安全部署兩個方面入手,談談如何實作服務的安全登入。 一、嚴密設定加強帳戶安全
1、帳戶改名
Administrator和guest是Server 2003預設的系統帳戶,正因如此它們是最可能被利用,攻擊者通過破解密碼而登入伺服器。對此,我們可以通過為其改名進行防範。
administrator改名:“開始→運作”,在其中輸入Secpol.msc回車打開本地安全組政策,在左側窗格中依次展開“安全設定→本地政策→安全選項”,在右側找到并輕按兩下打開“帳戶:重命名系統管理者帳戶”,然後在其中輸入新的名稱比如gslw即可。(圖1)
guest改名:作為伺服器一般是不開啟guest帳戶的,但是它往往被入侵者利用。比如啟用guest後将其加入到管理者組實施後期的控制。我們通過改名可防止類似的攻擊,改名方法和administrator一樣,在上面的組政策項下找到“帳戶:重命名來賓帳戶”,然後在其中輸入新的名稱即可。
2、密碼政策
密碼政策作用于域帳戶或本地帳戶,其中就包含以下幾個方面:強制密碼曆史,密碼最長使用期限,密碼最短使用期限,密碼長度最小值,密碼必須符合複雜性要求,用可還原的加密來 存儲密碼。
對于本地計算機的使用者帳戶,其密碼政策設定是在“本地安全設定”管理工個中進行的。下面是具體的配置方法:執行“開始→管理工具→本地安全政策”打開“本地安全設定”視窗。打開“使用者政策”選項,然後再選擇“密碼政策”選項,在右邊詳細資訊視窗中将顯示可配置的密碼政策選項的目前配置。然後輕按兩下相應的項打開“屬性”後進行配置。需要說明的是,“強制密碼曆史”和“用可還原的加密來儲存密碼”這兩項密碼政策最好保持預設,不要去修改。(圖2)
3、帳戶鎖定
當伺服器帳戶密碼不夠“強壯”時,非法使用者很容易通過多次重試“猜”出使用者密碼而登入系統,存在很大的安全風險。那如何來防止黑客猜解或者爆破伺服器密碼呢?
其實,要避免這一情況,通過組政策設定帳戶鎖定政策即可完美解決。此時當某一使用者嘗試登入系統輸入錯誤密碼的次數達到一定門檻值即自動将該帳戶鎖定,在帳戶鎖定期滿之前,該使用者将不可使用,除非管理者手動解除鎖定。其設定方法如下:
在開始菜單的搜尋框輸入“Gpedit.msc”打開組政策對象編輯器,然後依次點選定位到“計算機設定→ Windows設定→安全設定→帳戶政策→帳戶鎖定政策”政策項下。輕按兩下右側的“帳戶鎖定門檻值”,此項設定觸發使用者帳戶被鎖定的登入嘗試失敗的次數。該值在0到999之間,預設為0表示登入次數不受限制。大家可以根據自己的安全政策進行設定,比如設定為5。(圖3)
二、安全登入伺服器
1、遠端桌面
遠端桌面是比較常用的伺服器管理方式,但是開啟“遠端桌面”就好像系統打開了一扇門,人可以進來,蒼蠅蚊子也可以進來。是以要做好安全措施。
(1).使用者限制
點選“遠端桌面”下方的“選擇使用者”按鈕,然後在“遠端桌面使用者” 視窗中點選“添加”按鈕輸入允許的使用者,或者通過“進階→立即查找”添加使用者。由于遠端登入有一定的安全風險,管理者一定要嚴格控制可登入的帳戶。(圖4)
(2).更改端口
遠端桌面預設的連接配接端口是3389,攻擊者就可以通過該端口進行連接配接嘗試。是以,安全期間要修改該端口,原則是端口号一般是1024以後的端口,而且不容易被猜到。更改遠端桌面的連接配接端口要通過系統資料庫進行,打開系統資料庫編輯器,定位到如下系統資料庫項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
分别将其右側PortNumber的值改為其它的值比如9833,需要說明的是該值是十六進制的,更改時輕按兩下PortNumber點選“十進制”,然後輸入9833。(圖5)
2、telnet連接配接
telnet是指令行下的遠端登入工具,因為是系統內建并且操作簡單,是以在伺服器管理占有一席之地。因為它在網絡上用明文傳送密碼和資料,别有用心的人非常容易就可以截獲這些密碼和資料。而且,這些服務程式的安全驗證方式也是有其弱點的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。,并且其預設的端口是23這是大家都知道的。是以我們需要加強telnet的安全性。
(1).修改端口
本地修改2003伺服器的telnet端口方法是:“開始→運作”輸入cmd打開指令提示符,然後運作指令“tlntadmn config port=800”(800是修改後的telnet端口,為了避免端口沖突不用設定成已知服務的端口。)(圖6)
當然,我們也可以遠端修改伺服器的telnet端口,在指令提示符下輸入指令“tlntadmn config \\192.168.1.9 port=800 -u gslw -p test168 ”( \\192.168.1.9對方IP,port=800要修改為的telnet端口,-u指定對方的使用者名,-p指定對方使用者的密碼。)(圖7)
(2).用SSH替代Telnet
SSH(Secure Shell),它包括伺服器端和用戶端兩部分。SSH用戶端與伺服器端通訊時,使用者名和密碼均進行了加密,這就有效地防止了他人對密碼的盜取。而且通信中所傳送的資料包都是“非明碼”的方式。更重要的是它提供了圖形界面,同時也可以在指令行(shell)下進行操作。(圖8)
3、VPN連接配接的安全
适應資訊化和移動辦公的需要,很多企業都部署了VPN伺服器。而采用基于 Windows Server 2003的“ 路由和遠端通路”服務搭建的VPN不失為一種安全、友善的遠端通路解決方案,也是目前大多數中小型企業的首選。VPN的安全威脅就來自這條線路之外,即Internet為VPN伺服器配置PPTP資料包篩選器,是個比較有效的辦法。其原則是,賦予接入VPN的用戶端最少特權,并且丢棄除明确允許的資料包以外的其它所有資料包。
(1).快速部署VPN
在windows2003中“路由和遠端通路”,預設狀态已經安裝。隻需對此服務進行必要的配置使其生效即可。依次選擇“開始”→“管理工具”→“路由和遠端通路”,打開“路由和遠端通路”服務視窗;再在視窗右邊右擊本地計算機名,選擇“配置并啟用路由和遠端通路”。在出現的配置向導視窗點下一步,進入服務選擇視窗。如果你的伺服器隻有一塊網卡,那隻能選擇“自定義配置”;而标準VPN配置是需要兩塊網卡的,如果你伺服器有兩塊網卡,則可有針對性的選擇第一項或第三項。然後一路點選下一步即可開始VPN服務。
(2).IPSEC資料包過濾
配置輸入篩選器:隻允許來自PPTP VPN用戶端的入站通信,操作如下:
第一步:依次執行“開始→程式→管理工具”,打開“路由和遠端通路”視窗。在其控制台的左側視窗依次展開“伺服器名(本地)→IP路由選擇”,然後單擊“正常”在右側窗格中輕按兩下“本地連接配接”,打開“本地連接配接屬性”對話框。(圖9)
第二步:在“正常”頁籤中單擊“入站篩選器”,然在打開的“入站篩選器”對話框中點選“建立”按鈕,打開“添加IP篩選器”對話框。勾選“目标網絡”複選框,在“IP位址”編輯框中鍵入該外部接口的IP位址,在“子網路遮罩”編輯框中鍵入“255.255.255.255”,在“ 協定”框下拉菜單中選中“TCP” 協定,在彈出的“目标端口”框中鍵入端口号“1723”,然後單擊“确定”按鈕。(圖10)
第三步:回到“入站篩選器”對話框,點選“丢棄所有的包,滿足下列條件的除外”單選框,然後反單擊“建立”按鈕,勾選“目标網絡”複選框。在“IP位址”編輯框中鍵入該外部接口的IP位址,在“子網路遮罩”編輯框中鍵入“255.255.255.255”,在“協定”框下拉菜單中選中“其他”,在“在協定号”框中鍵入“47”,最後依次單擊“确定”按鈕完成設定。(圖11)
配置輸出篩選器:配置PPTP輸出篩選器,其目的是隻允許到達PPTP VPN用戶端的出站通信,操作如下:
第一步:在“路由和遠端通路”視窗打開外部接口屬性對話框,然後在“正常”頁籤中單擊“出站篩選器”按鈕,在打開的“出站篩選器”視窗中單擊“建立”按鈕,打開“添加IP篩選器”對話框。勾選 “源網絡”複選框,在“IP位址”編輯框中鍵入該外部接口的IP位址,子網路遮罩為“255.255.255.255”,指定協定為“TCP”,并指定“源端口”号為“1723”,單擊“确定”按鈕。(圖12)
第二步:回到“出站篩選器”對話框,點選“丢棄所有的包,滿足下列條件的除外”單選框。然後單擊“建立”按鈕,勾選“源網絡”複選框。在“IP位址”編輯框中鍵入該外部接口的IP位址,“子網路遮罩”為“255.255.255.255”,在“協定”框下拉菜單中選中“其他”,指定“協定号”為“47”,最後依次單擊“确定”按鈕完成設定。(圖13)
“1723”端口是VPN伺服器預設使用的端口,而“47”則代表TCP協定。完成上述設定後,就隻有那些基于PPTP的VPN用戶端可以通路VPN伺服器的外部接口了,這樣就極大地加強了VPN的安全性。
總結:本文從帳戶管理和登入工具方面談了伺服器遠端登入的安全部署,文中涉及的登入工具都是系統內建的。當然,在實際應用中管理者們也許會選擇第三方的遠端管理工具,但是不管怎麼樣,一定要做好安全部署。遠端控制是“雙刃劍”,友善了管理者也為攻擊者提供了便利,把好這道門是至關重要的。
http://bbs.admin5.com/thread-454540-1-1.html