远程控制连接技术在单位的信息化应用中是一门相对实用的技术,该技术可以借助多种方式来轻松实现,如VPN连接、远程桌面连接等等。如不少单位局域网中架设的服务器都使用了Windows Server 2008系统,为了方便管理该服务器系统,很多网络管理员都喜欢使用客户端系统自带的远程桌面连接程序,来对其进行远程控制与管理。虽然远程控制操作可以减轻网络管理工作量,但是在实际对Windows Server 2008服务器系统进行远程控制的过程中,我们可能会遭遇一些安全威胁;例如,一些默认的参数或帐号可能会被非法用户偷偷利用,一些安全设置没有被正常启用等等,这些因素都可能方便非法攻击者通过远程连接来达到顺利入侵Windows Server 2008服务器系统的目的。为了让Windows Server 2008服务器系统安全无懈可击,我们可以瞄准远程控制设置,对影响远程控制安全的各个潜在隐患进行逐一排查、加固,避免非法攻击者可以轻松利用一些安全漏洞,来随意攻击Windows Server 2008服务器系统!
启用网络验证安全登录
如果允许任何员工在局域网中的任何一台客户端系统上,都能随意远程连接到Windows Server 2008服务器系统,那么服务器系统的安全性就容易受到威胁,因为传统版本系统的安全漏洞比较多,它们感染网络病毒的可能性就比较大,轻易允许这些系统与Windows Server 2008服务器系统建立远程桌面连接,会容易将病毒传播给目标服务器系统。有鉴于此,我们可以启用Windows Server 2008服务器系统的网络级身份验证功能,来控制任意用户随意远程登录进入目标服务器系统,确保只有安装了安全性能较高的客户端系统才能有资格进行远程桌面连接。
首先以超级用户权限登录Windows Server 2008服务器系统,依次展开“开始”菜单上的“设置”、“控制面板”选项,从其后的系统控制面板窗口中依次双击“系统和维护”、“系统”功能图标,进入对应系统的属性设置界面;
其次点选系统属性设置界面中的“远程设置”按钮,打开Windows Server 2008服务器系统的远程设置对话框(如图1所示),将其中的“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”功能选项选中,再单击“确定”按钮保存好设置操作,这样一来网络验证功能就被成功启用起来了;日后,任何用户在尝试与Windows Server 2008服务器系统建立远程桌面连接时,网络验证功能不但会对远程连接帐号的合法性进行审查,而且还会对客户端安装的操作系统类型进行审查,只有那些安装了Windows Vista以上版本系统的客户端计算机才有资格远程连接到目标服务器系统上,其他客户端计算机则不能随意与之建立远程控制连接。
调整端口控制非法连接
只要在Windows Server 2008服务器系统中开通了远程桌面连接功能,那么目标服务器系统中的3389远程连接端口就会被同时开启;而3389远程连接端口由于众人皆知,很容易被一些非法攻击者利用,为了让Windows Server 2008服务器系统免受远程攻击,我们可以按照下面的设置来将人人皆知的远程连接端口修改成一个不为人所知的新端口。
假设要将远程桌面连接端口号码修改成新的“9876”号码时,我们可以先打开Windows Server 2008服务器系统的“开始”菜单,点选其中的“运行”命令,同时在系统运行框中执行“regedit”命令,进入注册表控制台窗口;
其次将鼠标定位于该控制台窗口中的HKEY_LOCAL_MACHINE分支上,并从目标分支下面展开SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp子项,再用鼠标双击RDP-Tcp子项下面的PortNumber键值,弹出PortNumber键值的属性设置对话框,将其中的“十进制”选项选中,同时在数值数据文本框中输入“9876”(如图2所示),最后单击“确定”按钮执行设置保存操作。
完成上面的设置操作后,我们打开远程桌面连接设置窗口,在“计算机”文本框中输入Windows Server 2008服务器系统的主机名称,同时在该名称后面加上“:9876”,之后单击“连接”按钮,这么一来才能成功与Windows Server 2008服务器系统建立远程连接,而那些不知道新端口号码的非法攻击者是不能随便远程连接到目标服务器系统。
帐户策略控制恶意破解
在默认状态下,Windows Server 2008服务器系统会优先利用Administrator账号完成系统远程登录操作;也正因为此,许多非法攻击者往往会利用这个默认的帐号尝试暴力破解对应帐号的密码,一旦破解成功,那么非法攻击者就能进行各种权限的远程控制操作了,显然保留默认的Administrator帐号是非常危险的。其实,我们可以修改Windows Server 2008服务器系统的Administrator帐号名称,让非法攻击者无法正常利用这个默认的系统管理员帐号,下面就是具体的修改操作步骤:
首先逐一点选Windows Server 2008系统桌面上的“开始”、“运行”选项,打开对应系统的运行对话框,在其中执行“Secpol.msc”字符串命令,进入目标服务器系统的本地安全组策略界面;
其次逐一展开“安全设置”、“本地策略”、“安全选项”节点选项,从目标节点下面用鼠标双击“帐户:重命名系统管理员帐户”组策略选项,弹出目标组策略属性设置窗口;点选该窗口中的“本地安全设置”选项设置页面(如图3所示),并在对应页面中将Administrator账号名称调整为比较复杂的、外人不易猜中的名称,比方说将其调整为“superman”,再单击“确定”按钮执行设置保存操作,如此一来非法用户就不能轻易暴力破解Windows Server 2008服务器系统默认管理员帐号,那么目标服务器系统受到的安全威胁也就小多了。
提示:除了通过修改帐户策略,来控制恶意破解外,我们也可以修改密码策略,禁止非法用户随意破解Windows Server 2008服务器系统的远程登录密码;要做到这一点其实很简单,我们可以先打开目标服务器系统的本地安全组策略界面,从中依次点选“账户策略”、“密码策略”节点选项,再双击“密码必须符合复杂性要求”选项,选中其后界面中的“已启用”选项,最后点击“确定”按钮就可以了。
授权远程用户操作权限
要是对远程连接的用户帐号不加控制、管理,而允许任何用户远程控制Windows Server 2008服务器系统时,那目标服务器系统难免会受到一些别有用心之人的破坏;再说了,随意开放远程控制权限,用户的一个简单的误操作,也会威胁目标服务器系统的安全。为此,我们必须对可信任用户进行授权,并对它们的远程控制权限进行分类限制,确保最值得信任的人才能进行各种远程控制操作:
首先从Windows Server 2008服务器系统的“开始”菜单中逐一点选“程序”|“管理工具”|“服务器管理器”命令,弹出服务器管理器界面,点选该界面“服务器管理”节点下的“服务器摘要”选项,再单击对应设置区域中的“配置远程桌面”按钮,打开Windows Server 2008系统的远程桌面连接设置窗口;
其次单击“远程桌面”位置处的“选择用户”按钮,从弹出的远程用户列表框中(如图4所示),将自己不熟悉的以及不信任的所有用户账号全部删除掉,之后点击“添加”按钮,将自己认为可以信任的管理员账号添加进来,再单击“确定”按钮保存好上述设置操作,这么一来只有被合法授权的用户才能远程控制Windows Server 2008服务器系统,其他任何人都不能对该系统执行远程控制操作。
配置服务控制远程会话
Windows Server 2008服务器系统默认只允许两个用户同时与之建立远程桌面连接,如果用户在执行完远程控制操作后,即使没有继续进行任何操作,远程桌面仍然会处于连接状态,这样一来其他用户就不能正常对目标服务器系统执行远程控制操作。有鉴于此,我们可以通过配置目标服务器系统的终端服务参数,控制远程会话的时间:
首先从Windows Server 2008服务器系统的“开始”菜单中,依次点选“程序”、“管理工具”、“终端服务”、“终端服务配置”菜单选项,打开对应系统的终端服务配置界面,选中该界面“连接”列表中的“RDP-Tcp”选项,同时鼠标右键单击该选项,再点选右键菜单中的“属性”命令,打开“RDP-Tcp”选项设置界面;
其次点选该设置界面中的“会话”选项卡,在弹出的会话选项设置页面中选中“改写用户设置”项,并且将“空闲会话限制”调整为“10分钟”左右,之后选中“达到会话限制或连接被中断时”位置处的“从会话断开”选项(如图5所示),再单击“确定”按钮保存好上述设置操作。这么一来,只要远程会话连接空闲时间超过10分钟,Windows Server 2008服务器系统就会强行断开远程用户的控制连接,那么其他用户就能及时与目标服务器系统建立新的远程控制连接了。
启用网络验证安全登录
如果允许任何员工在局域网中的任何一台客户端系统上,都能随意远程连接到Windows Server 2008服务器系统,那么服务器系统的安全性就容易受到威胁,因为传统版本系统的安全漏洞比较多,它们感染网络病毒的可能性就比较大,轻易允许这些系统与Windows Server 2008服务器系统建立远程桌面连接,会容易将病毒传播给目标服务器系统。有鉴于此,我们可以启用Windows Server 2008服务器系统的网络级身份验证功能,来控制任意用户随意远程登录进入目标服务器系统,确保只有安装了安全性能较高的客户端系统才能有资格进行远程桌面连接。
首先以超级用户权限登录Windows Server 2008服务器系统,依次展开“开始”菜单上的“设置”、“控制面板”选项,从其后的系统控制面板窗口中依次双击“系统和维护”、“系统”功能图标,进入对应系统的属性设置界面;
|
|
其次点选系统属性设置界面中的“远程设置”按钮,打开Windows Server 2008服务器系统的远程设置对话框(如图1所示),将其中的“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”功能选项选中,再单击“确定”按钮保存好设置操作,这样一来网络验证功能就被成功启用起来了;日后,任何用户在尝试与Windows Server 2008服务器系统建立远程桌面连接时,网络验证功能不但会对远程连接帐号的合法性进行审查,而且还会对客户端安装的操作系统类型进行审查,只有那些安装了Windows Vista以上版本系统的客户端计算机才有资格远程连接到目标服务器系统上,其他客户端计算机则不能随意与之建立远程控制连接。
调整端口控制非法连接
只要在Windows Server 2008服务器系统中开通了远程桌面连接功能,那么目标服务器系统中的3389远程连接端口就会被同时开启;而3389远程连接端口由于众人皆知,很容易被一些非法攻击者利用,为了让Windows Server 2008服务器系统免受远程攻击,我们可以按照下面的设置来将人人皆知的远程连接端口修改成一个不为人所知的新端口。
假设要将远程桌面连接端口号码修改成新的“9876”号码时,我们可以先打开Windows Server 2008服务器系统的“开始”菜单,点选其中的“运行”命令,同时在系统运行框中执行“regedit”命令,进入注册表控制台窗口;
|
|
其次将鼠标定位于该控制台窗口中的HKEY_LOCAL_MACHINE分支上,并从目标分支下面展开SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp子项,再用鼠标双击RDP-Tcp子项下面的PortNumber键值,弹出PortNumber键值的属性设置对话框,将其中的“十进制”选项选中,同时在数值数据文本框中输入“9876”(如图2所示),最后单击“确定”按钮执行设置保存操作。
完成上面的设置操作后,我们打开远程桌面连接设置窗口,在“计算机”文本框中输入Windows Server 2008服务器系统的主机名称,同时在该名称后面加上“:9876”,之后单击“连接”按钮,这么一来才能成功与Windows Server 2008服务器系统建立远程连接,而那些不知道新端口号码的非法攻击者是不能随便远程连接到目标服务器系统。
帐户策略控制恶意破解
在默认状态下,Windows Server 2008服务器系统会优先利用Administrator账号完成系统远程登录操作;也正因为此,许多非法攻击者往往会利用这个默认的帐号尝试暴力破解对应帐号的密码,一旦破解成功,那么非法攻击者就能进行各种权限的远程控制操作了,显然保留默认的Administrator帐号是非常危险的。其实,我们可以修改Windows Server 2008服务器系统的Administrator帐号名称,让非法攻击者无法正常利用这个默认的系统管理员帐号,下面就是具体的修改操作步骤:
首先逐一点选Windows Server 2008系统桌面上的“开始”、“运行”选项,打开对应系统的运行对话框,在其中执行“Secpol.msc”字符串命令,进入目标服务器系统的本地安全组策略界面;
|
|
其次逐一展开“安全设置”、“本地策略”、“安全选项”节点选项,从目标节点下面用鼠标双击“帐户:重命名系统管理员帐户”组策略选项,弹出目标组策略属性设置窗口;点选该窗口中的“本地安全设置”选项设置页面(如图3所示),并在对应页面中将Administrator账号名称调整为比较复杂的、外人不易猜中的名称,比方说将其调整为“superman”,再单击“确定”按钮执行设置保存操作,如此一来非法用户就不能轻易暴力破解Windows Server 2008服务器系统默认管理员帐号,那么目标服务器系统受到的安全威胁也就小多了。
提示:除了通过修改帐户策略,来控制恶意破解外,我们也可以修改密码策略,禁止非法用户随意破解Windows Server 2008服务器系统的远程登录密码;要做到这一点其实很简单,我们可以先打开目标服务器系统的本地安全组策略界面,从中依次点选“账户策略”、“密码策略”节点选项,再双击“密码必须符合复杂性要求”选项,选中其后界面中的“已启用”选项,最后点击“确定”按钮就可以了。
授权远程用户操作权限
要是对远程连接的用户帐号不加控制、管理,而允许任何用户远程控制Windows Server 2008服务器系统时,那目标服务器系统难免会受到一些别有用心之人的破坏;再说了,随意开放远程控制权限,用户的一个简单的误操作,也会威胁目标服务器系统的安全。为此,我们必须对可信任用户进行授权,并对它们的远程控制权限进行分类限制,确保最值得信任的人才能进行各种远程控制操作:
首先从Windows Server 2008服务器系统的“开始”菜单中逐一点选“程序”|“管理工具”|“服务器管理器”命令,弹出服务器管理器界面,点选该界面“服务器管理”节点下的“服务器摘要”选项,再单击对应设置区域中的“配置远程桌面”按钮,打开Windows Server 2008系统的远程桌面连接设置窗口;
|
|
其次单击“远程桌面”位置处的“选择用户”按钮,从弹出的远程用户列表框中(如图4所示),将自己不熟悉的以及不信任的所有用户账号全部删除掉,之后点击“添加”按钮,将自己认为可以信任的管理员账号添加进来,再单击“确定”按钮保存好上述设置操作,这么一来只有被合法授权的用户才能远程控制Windows Server 2008服务器系统,其他任何人都不能对该系统执行远程控制操作。
配置服务控制远程会话
Windows Server 2008服务器系统默认只允许两个用户同时与之建立远程桌面连接,如果用户在执行完远程控制操作后,即使没有继续进行任何操作,远程桌面仍然会处于连接状态,这样一来其他用户就不能正常对目标服务器系统执行远程控制操作。有鉴于此,我们可以通过配置目标服务器系统的终端服务参数,控制远程会话的时间:
首先从Windows Server 2008服务器系统的“开始”菜单中,依次点选“程序”、“管理工具”、“终端服务”、“终端服务配置”菜单选项,打开对应系统的终端服务配置界面,选中该界面“连接”列表中的“RDP-Tcp”选项,同时鼠标右键单击该选项,再点选右键菜单中的“属性”命令,打开“RDP-Tcp”选项设置界面;
|
|
其次点选该设置界面中的“会话”选项卡,在弹出的会话选项设置页面中选中“改写用户设置”项,并且将“空闲会话限制”调整为“10分钟”左右,之后选中“达到会话限制或连接被中断时”位置处的“从会话断开”选项(如图5所示),再单击“确定”按钮保存好上述设置操作。这么一来,只要远程会话连接空闲时间超过10分钟,Windows Server 2008服务器系统就会强行断开远程用户的控制连接,那么其他用户就能及时与目标服务器系统建立新的远程控制连接了。
上面的几种措施分别从身份验证、端口设置、操作权限、账户策略以及终端服务等方面,对Windows Server 2008服务器的远程控制操作进行了安全加固,相信在这些措施的作用下,远程控制操作就不会随意被他人非法利用,那么Windows Server 2008服务器受到的安全攻击可能性也就会大大降低了。
转载自:http://www.zdnet.com.cn/pcpro/2009/1216/1561413.shtml
