严密部署 保证远程登录服务器安全
远程登录进行服务器的管理和维护是管理员的日常工作之一,如何保障远登录的安全性也是大家必须要考虑的问题。本文将从帐户管理和登录工具的安全部署两个方面入手,谈谈如何实现服务的安全登录。一、严密设置加强帐户安全
1、帐户改名
Administrator和guest是Server 2003默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录服务器。对此,我们可以通过为其改名进行防范。
administrator改名:“开始→运行”,在其中输入Secpol.msc回车打开本地安全组策略,在左侧窗格中依次展开“安全设置→本地策略→安全选项”,在右侧找到并双击打开“帐户:重命名系统管理员帐户”,然后在其中输入新的名称比如gslw即可。(图1)
[table][tr][td][img=399,256]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173340535.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
guest改名:作为服务器一般是不开启guest帐户的,但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改名可防止类似的攻击,改名方法和administrator一样,在上面的组策略项下找到“帐户:重命名来宾帐户”,然后在其中输入新的名称即可。
2、密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法:执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口。打开“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。需要说明的是,“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认,不要去修改。(图2)
[table][tr][td][img=471,326]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341390.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
3、帐户锁定
当服务器帐户密码不够“强壮”时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢?
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。其设置方法如下:
在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器,然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”,此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间,默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置,比如设置为5。(图3)
[table][tr][td][img=399,279]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341523.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
二、安全登录服务器
1、远程桌面
远程桌面是比较常用的服务器管理方式,但是开启“远程桌面”就好像系统打开了一扇门,人可以进来,苍蝇蚊子也可以进来。所以要做好安全措施。
(1).用户限制
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。(图4)
[table][tr][td][img=375,277]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341579.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
(2).更改端口
远程桌面默认的连接端口是3389,攻击者就可以通过该端口进行连接尝试。因此,安全期间要修改该端口,原则是端口号一般是1024以后的端口,而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行,打开注册表编辑器,定位到如下注册表项:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
分别将其右侧PortNumber的值改为其它的值比如9833,需要说明的是该值是十六进制的,更改时双击PortNumber点选“十进制”,然后输入9833。(图5)
[table][tr][td][img=472,363]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341229.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
2、telnet连接
telnet是命令行下的远程登录工具,因为是系统集成并且操作简单,所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。,并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。
(1).修改端口
本地修改2003服务器的telnet端口方法是:“开始→运行”输入cmd打开命令提示符,然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口,为了避免端口冲突不用设置成已知服务的端口。)(图6)
[table][tr][td][img=420,137]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341284.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
当然,我们也可以远程修改服务器的telnet端口,在命令提示符下输入命令“tlntadmn config 192.168.1.9 port=800 -u gslw -p test168 ”(192.168.1.9对方IP,port=800要修改为的telnet端口,-u指定对方的用户名,-p指定对方用户的密码。)(图7)
[table][tr][td][img=497,134]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341967.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
(2).用SSH替代Telnet
SSH(Secure Shell),它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时,用户名和密码均进行了加密,这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面,同时也可以在命令行(shell)下进行操作。(图8)
远程登录进行服务器的管理和维护是管理员的日常工作之一,如何保障远登录的安全性也是大家必须要考虑的问题。本文将从帐户管理和登录工具的安全部署两个方面入手,谈谈如何实现服务的安全登录。
一、严密设置加强帐户安全
1、帐户改名
Administrator和guest是Server 2003默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录服务器。对此,我们可以通过为其改名进行防范。
administrator改名:“开始→运行”,在其中输入Secpol.msc回车打开本地安全组策略,在左侧窗格中依次展开“安全设置→本地策略→安全选项”,在右侧找到并双击打开“帐户:重命名系统管理员帐户”,然后在其中输入新的名称比如gslw即可。(图1)
[table][tr][td][img=399,256]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173340535.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
guest改名:作为服务器一般是不开启guest帐户的,但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改名可防止类似的攻击,改名方法和administrator一样,在上面的组策略项下找到“帐户:重命名来宾帐户”,然后在其中输入新的名称即可。
2、密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法:执行“开始→管理工具→本地安全策略”打开“本地安全设置”窗口。打开“用户策略”选项,然后再选择“密码策略”选项,在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击相应的项打开“属性”后进行配置。需要说明的是,“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认,不要去修改。(图2)
[table][tr][td][img=471,326]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341390.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
3、帐户锁定
当服务器帐户密码不够“强壮”时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢?
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。其设置方法如下:
在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器,然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”,此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间,默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置,比如设置为5。(图3)
[table][tr][td][img=399,279]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341523.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
二、安全登录服务器
1、远程桌面
远程桌面是比较常用的服务器管理方式,但是开启“远程桌面”就好像系统打开了一扇门,人可以进来,苍蝇蚊子也可以进来。所以要做好安全措施。
(1).用户限制
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。(图4)
[table][tr][td][img=375,277]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341579.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
(2).更改端口
远程桌面默认的连接端口是3389,攻击者就可以通过该端口进行连接尝试。因此,安全期间要修改该端口,原则是端口号一般是1024以后的端口,而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行,打开注册表编辑器,定位到如下注册表项:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp
分别将其右侧PortNumber的值改为其它的值比如9833,需要说明的是该值是十六进制的,更改时双击PortNumber点选“十进制”,然后输入9833。(图5)
[table][tr][td][img=472,363]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341229.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
2、telnet连接
telnet是命令行下的远程登录工具,因为是系统集成并且操作简单,所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。,并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。
(1).修改端口
本地修改2003服务器的telnet端口方法是:“开始→运行”输入cmd打开命令提示符,然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口,为了避免端口冲突不用设置成已知服务的端口。)(图6)
[table][tr][td][img=420,137]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341284.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
当然,我们也可以远程修改服务器的telnet端口,在命令提示符下输入命令“tlntadmn config 192.168.1.9 port=800 -u gslw -p test168 ”(192.168.1.9对方IP,port=800要修改为的telnet端口,-u指定对方的用户名,-p指定对方用户的密码。)(图7)
[table][tr][td][img=497,134]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341967.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
(2).用SSH替代Telnet
SSH(Secure Shell),它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时,用户名和密码均进行了加密,这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面,同时也可以在命令行(shell)下进行操作。(图8)
[table][tr][td][img=500,378]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341780.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
3、VPN连接的安全
适应信息化和移动办公的需要,很多企业都部署了VPN服务器。而采用基于Windows Server 2003的“路由和远程访问”服务搭建的VPN不失为一种安全、方便的远程访问解决方案,也是当前大多数中小型企业的首选。VPN的安全威胁就来自这条线路之外,即Internet为VPN服务器配置PPTP数据包筛选器,是个比较有效的办法。其原则是,赋予接入VPN的客户端最少特权,并且丢弃除明确允许的数据包以外的其它所有数据包。
(1).快速部署VPN
在windows2003中“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。依次选择“开始”→“管理工具”→“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名,选择“配置并启用路由和远程访问”。在出现的配置向导窗口点下一步,进入服务选择窗口。如果你的服务器只有一块网卡,那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的,如果你服务器有两块网卡,则可有针对性的选择第一项或第三项。然后一路点击下一步即可开始VPN服务。
(2).IPSEC数据包过滤
配置输入筛选器:只允许来自PPTP VPN客户端的入站通信,操作如下:
第一步:依次执行“开始→程序→管理工具”,打开“路由和远程访问”窗口。在其控制台的左侧窗口依次展开“服务器名(本地)→IP路由选择”,然后单击“常规”在右侧窗格中双击“本地连接”,打开“本地连接属性”对话框。(图9)
[table][tr][td][img=401,439]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341299.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
第二步:在“常规”选项卡中单击“入站筛选器”,然在打开的“入站筛选器”对话框中点击“新建”按钮,打开“添加IP筛选器”对话框。勾选“目标网络”复选框,在“IP地址”编辑框中键入该外部接口的IP地址,在“子网掩码”编辑框中键入“255.255.255.255”,在“协议”框下拉菜单中选中“TCP”协议,在弹出的“目标端口”框中键入端口号“1723”,然后单击“确定”按钮。(图10)
[table][tr][td][img=380,377]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341788.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
第三步:回到“入站筛选器”对话框,点选“丢弃所有的包,满足下列条件的除外”单选框,然后反单击“新建”按钮,勾选“目标网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址,在“子网掩码”编辑框中键入“255.255.255.255”,在“协议”框下拉菜单中选中“其他”,在“在协议号”框中键入“47”,最后依次单击“确定”按钮完成设置。(图11)
[table][tr][td][img=380,376]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341883.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
配置输出筛选器:配置PPTP输出筛选器,其目的是只允许到达PPTP VPN客户端的出站通信,操作如下:
第一步:在“路由和远程访问”窗口打开外部接口属性对话框,然后在“常规”选项卡中单击“出站筛选器”按钮,在打开的“出站筛选器”窗口中单击“新建”按钮,打开“添加IP筛选器”对话框。勾选 “源网络”复选框,在“IP地址”编辑框中键入该外部接口的IP地址,子网掩码为“255.255.255.255”,指定协议为“TCP”,并指定“源端口”号为“1723”,单击“确定”按钮。(图12)
[table][tr][td][img=380,375]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341194.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
第二步:回到“出站筛选器”对话框,点选“丢弃所有的包,满足下列条件的除外”单选框。然后单击“新建”按钮,勾选“源网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址,“子网掩码”为“255.255.255.255”,在“协议”框下拉菜单中选中“其他”,指定“协议号”为“47”,最后依次单击“确定”按钮完成设置。(图13)
[table][tr][td][img=483,375]http://dx.3800hk.com/news/UploadFiles_9994/200809/20080903173341538.jpg[/img][/td][/tr][tr][td][/td][/tr][/table]
“1723”端口是VPN服务器默认使用的端口,而“47”则代表TCP协议。完成上述设置后,就只有那些基于PPTP的VPN客户端可以访问VPN服务器的外部接口了,这样就极大地加固了VPN的安全性。
总结:本文从帐户管理和登录工具方面谈了服务器远程登录的安全部署,文中涉及的登录工具都是系统集成的。当然,在实际应用中管理员们也许会选择第三方的远程管理工具,但是不管怎么样,一定要做好安全部署。远程控制是“双刃剑”,方便了管理员也为攻击者提供了便利,把好这道门是至关重要的。
页:
[1]