從系統(tǒng)入手加強(qiáng)遠(yuǎn)程控制的安全

字號(hào):

具有一定規(guī)模的局域網(wǎng),其中的服務(wù)器和客戶端不計(jì)其數(shù),并且分布在各地,如何對(duì)它們實(shí)施高效管理呢?遠(yuǎn)程控制無(wú)疑是非常有效的方法,但是遠(yuǎn)程登錄的安全性也是管理人員必須要面對(duì)的難題。當(dāng)前的遠(yuǎn)程控制軟件非常多,但一般都是基于C/S模式的,需要在客戶端和服務(wù)器端做好安全部署。本文就以Windows系統(tǒng)集成的“遠(yuǎn)程桌面”、“Telnet”、“VPN”三個(gè)遠(yuǎn)程控制工具為例,說(shuō)說(shuō)如何加強(qiáng)其遠(yuǎn)程登錄的安全性。
    一、遠(yuǎn)程登錄安全從系統(tǒng)帳戶入手
    利用“遠(yuǎn)程桌面”、“Telnet”、“VPN”進(jìn)行遠(yuǎn)程登錄,需要獲得遠(yuǎn)程主機(jī)的帳戶和密碼,因此做好系統(tǒng)帳戶的安全非常重要。
    1、為系統(tǒng)帳戶改名,防登錄測(cè)試
    Administrator和guest是Windows 2000/XP/2003默認(rèn)的系統(tǒng)帳戶,正因如此它們是最可能被利用,攻擊者通過(guò)*碼而登錄服務(wù)器。對(duì)此,我們可以通過(guò)為其改名進(jìn)行防范。
    administrator改名:“開(kāi)始→運(yùn)行”,在其中輸入Secpol.msc回車打開(kāi)本地安全組策略,在左側(cè)窗格中依次展開(kāi)“安全設(shè)置→本地策略→安全選項(xiàng)”,在右側(cè)找到并雙擊打開(kāi)“帳戶:重命名系統(tǒng)管理員帳戶”,然后在其中輸入新的名稱比如gslw即可。
    guest改名:在局域網(wǎng)中通過(guò)“網(wǎng)上鄰居”進(jìn)行文件共享時(shí)需要開(kāi)啟guest帳戶,但是它往往被入侵者利用。比如啟用guest后將其加入到管理員組實(shí)施后期的控制。我們通過(guò)改名可防止類似的攻擊,改名方法和administrator一樣,在上面的組策略項(xiàng)下找到“帳戶:重命名來(lái)賓帳戶”,然后在其中輸入新的名稱即可。
    2、啟用密碼策略,防暴力*
    如果系統(tǒng)的密碼不復(fù)合型復(fù)雜性要求,就有可能被暴力*。而用戶常常為了方便記憶,密碼總是比較簡(jiǎn)單。為此我們可以啟用密碼策略,強(qiáng)制用戶設(shè)置復(fù)雜密碼。
    密碼策略作用于域帳戶或本地帳戶,其中就包含以下幾個(gè)方面:強(qiáng)制密碼歷史,密碼最長(zhǎng)使用期限,密碼最短使用期限,密碼長(zhǎng)度最小值,密碼必須符合復(fù)雜性要求,用可還原的加密來(lái)存儲(chǔ)密碼。
    對(duì)于本地計(jì)算機(jī)的用戶帳戶,其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個(gè)中進(jìn)行的。下面是具體的配置方法:執(zhí)行“開(kāi)始→管理工具→本地安全策略”打開(kāi)“本地安全設(shè)置”窗口。打開(kāi)“用戶策略”選項(xiàng),然后再選擇“密碼策略”選項(xiàng),在右邊詳細(xì)信息窗口中將顯示可配置的密碼策略選項(xiàng)的當(dāng)前配置。然后雙擊相應(yīng)的項(xiàng)打開(kāi)“屬性”后進(jìn)行配置。需要說(shuō)明的是,“強(qiáng)制密碼歷史”和“用可還原的加密來(lái)儲(chǔ)存密碼”這兩項(xiàng)密碼策略保持默認(rèn),不要去修改。
    3、啟用帳戶鎖定,防惡意登錄
    當(dāng)系統(tǒng)帳戶密碼不夠“強(qiáng)壯”時(shí),非法用戶很容易通過(guò)多次重試“猜”出用戶密碼而登錄系統(tǒng),存在很大的安全風(fēng)險(xiǎn)。那如何來(lái)防止黑客猜解或者爆破服務(wù)器密碼呢?
    其實(shí),要避免這一情況,通過(guò)組策略設(shè)置帳戶鎖定策略即可完美解決。此時(shí)當(dāng)某一用戶嘗試登錄系統(tǒng)輸入錯(cuò)誤密碼的次數(shù)達(dá)到一定閾值即自動(dòng)將該帳戶鎖定,在帳戶鎖定期滿之前,該用戶將不可使用,除非管理員手動(dòng)解除鎖定。其設(shè)置方法如下:
    在開(kāi)始菜單的搜索框輸入“Gpedit.msc”打開(kāi)組策略對(duì)象編輯器,然后依次點(diǎn)擊定位到“計(jì)算機(jī)設(shè)置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”策略項(xiàng)下。雙擊右側(cè)的“帳戶鎖定閾值”,此項(xiàng)設(shè)置觸發(fā)用戶帳戶被鎖定的登錄嘗試失敗的次數(shù)。該值在0到999之間,默認(rèn)為0表示登錄次數(shù)不受限制。大家可以根據(jù)自己的安全策略進(jìn)行設(shè)置,比如設(shè)置為5。