從系統(tǒng)入手加強遠程控制的安全

具有一定規(guī)模的局域網(wǎng)，其中的服務(wù)器和客戶端不計其數(shù)，并且分布在各地，如何對它們實施高效管理呢?遠程控制無疑是非常有效的方法，但是遠程登錄的安全性也是管理人員必須要面對的難題。當前的遠程控制軟件非常多，但一般都是基于C/S模式的，需要在客戶端和服務(wù)器端做好安全部署。本文就以Windows系統(tǒng)集成的“遠程桌面”、“Telnet”、“VPN”三個遠程控制工具為例，說說如何加強其遠程登錄的安全性。
    一、遠程登錄安全從系統(tǒng)帳戶入手
    利用“遠程桌面”、“Telnet”、“VPN”進行遠程登錄，需要獲得遠程主機的帳戶和密碼，因此做好系統(tǒng)帳戶的安全非常重要。
    1、為系統(tǒng)帳戶改名，防登錄測試
    Administrator和guest是Windows 2000/XP/2003默認的系統(tǒng)帳戶，正因如此它們是最可能被利用，攻擊者通過*碼而登錄服務(wù)器。對此，我們可以通過為其改名進行防范。
    administrator改名：“開始→運行”，在其中輸入Secpol.msc回車打開本地安全組策略，在左側(cè)窗格中依次展開“安全設(shè)置→本地策略→安全選項”，在右側(cè)找到并雙擊打開“帳戶：重命名系統(tǒng)管理員帳戶”，然后在其中輸入新的名稱比如gslw即可。
    guest改名：在局域網(wǎng)中通過“網(wǎng)上鄰居”進行文件共享時需要開啟guest帳戶，但是它往往被入侵者利用。比如啟用guest后將其加入到管理員組實施后期的控制。我們通過改名可防止類似的攻擊，改名方法和administrator一樣，在上面的組策略項下找到“帳戶：重命名來賓帳戶”，然后在其中輸入新的名稱即可。
    2、啟用密碼策略，防暴力*
    如果系統(tǒng)的密碼不復(fù)合型復(fù)雜性要求，就有可能被暴力*。而用戶常常為了方便記憶，密碼總是比較簡單。為此我們可以啟用密碼策略，強制用戶設(shè)置復(fù)雜密碼。
    密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面：強制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合復(fù)雜性要求，用可還原的加密來存儲密碼。
    對于本地計算機的用戶帳戶，其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個中進行的。下面是具體的配置方法：執(zhí)行“開始→管理工具→本地安全策略”打開“本地安全設(shè)置”窗口。打開“用戶策略”選項，然后再選擇“密碼策略”選項，在右邊詳細信息窗口中將顯示可配置的密碼策略選項的當前配置。然后雙擊相應(yīng)的項打開“屬性”后進行配置。需要說明的是，“強制密碼歷史”和“用可還原的加密來儲存密碼”這兩項密碼策略保持默認，不要去修改。
    3、啟用帳戶鎖定，防惡意登錄
    當系統(tǒng)帳戶密碼不夠“強壯”時，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)，存在很大的安全風(fēng)險。那如何來防止黑客猜解或者爆破服務(wù)器密碼呢?
    其實，要避免這一情況，通過組策略設(shè)置帳戶鎖定策略即可完美解決。此時當某一用戶嘗試登錄系統(tǒng)輸入錯誤密碼的次數(shù)達到一定閾值即自動將該帳戶鎖定，在帳戶鎖定期滿之前，該用戶將不可使用，除非管理員手動解除鎖定。其設(shè)置方法如下：
    在開始菜單的搜索框輸入“Gpedit.msc”打開組策略對象編輯器，然后依次點擊定位到“計算機設(shè)置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”策略項下。雙擊右側(cè)的“帳戶鎖定閾值”，此項設(shè)置觸發(fā)用戶帳戶被鎖定的登錄嘗試失敗的次數(shù)。該值在0到999之間，默認為0表示登錄次數(shù)不受限制。大家可以根據(jù)自己的安全策略進行設(shè)置，比如設(shè)置為5。