[原创教程] 服务器终端安全之我见

服务器, 终端

　　很长时间没出教程了，感觉跟大家疏远了，实在不好意思，最近真的是太忙了，天天就是不停的备课、讲课、做实验，完全没有多余的时间，这不，我刚刚备完课，现在都1点30了，教程我还在制作中，希望大家谅解下，这里先给大家个此教程的大致预告吧！
　
　　所谓终端服务，可能有的人觉得很陌生，但是如果我说出另外一个东西，相信大家都应该知道是指的什么了，那就是【3389】，现在大家应该知道我说的是什么东西了吧！
　" A- e1 y3 v9 p$ H! F$ p2 ]0 I# m) E
　　这篇文章我之所以归纳为【原创教程】那是因为在这里我不光会跟大家一起讨论如何来做终端服务器的安全，还会把相关的配置过程放出来，当然这些配置方法都是自己在教学过程中积累的经验，也仅仅是我个人的一些经验。好了，闲话说了这么多，下面我来给大家说说我的思路吧！
　
思考：如何来保证终端服务器的安全？（这个问题是问我的，也是问大家的，欢迎大家在此贴后面跟帖说说自己的一些想法。）$ A  x0 d9 ]4 T/ h6 |  J! s! n
　
我的一些思路：  `0 S% Z5 O" `5 o
　+ a/ ~- D$ u- {. b% h# s% k
1、用户的密码策略；

具体说明：在终端服务器上开启用户的密码策略，强制性的要求用户使用多长的密码，密码还必须是强密码。" g- ?+ j. L: o% e. }
　
步骤：首先在【开始】-【运行】中输入【gpedit.msc】命令，打开组策略，然后【“本地计算机”策略】-【计算机配置】-【Windows设置】-【安全设置】-【帐户策略】找到这里后，会看见下面的两个子选项【密码策略】和【帐户锁定策略】，说道这里大家应该知道怎么操作了吧！好了，我先引申到这里，给点时间大家自己测试下。具体内容敬请关注。. g( M' }4 b0 d1 y/ e
　
2、哪些用户据用登陆服务器的权限；) v, X( g6 W  I1 l, j
　4 L6 o  K9 p5 Y/ Y" k8 k" s, j+ N
具体说明：服务器是管理员来管理的，那么是不是所有的本地账号都具有通过3389登陆该服务器的权限呢？
　
步骤：（撰稿中，请大家关注）
　* W3 ^, U) K, b+ V) S0 S7 H
3、服务器日志的完善；: [# e: L" s. @1 [
　! W+ B" P0 i, o+ K
具体说明：在系统自带的日志中是不会详细记录是哪个IP，在什么时间、什么日期，登陆了服务器的，所以我们要想办法来记录这些内容。+ {: H& ]( p1 m/ C6 n/ G' o% N
　
步骤：（撰稿中，请大家关注）
　- r% Z: @1 z/ [- J4 b5 u
4、登陆IP的限制；
　/ t: G( I7 k1 U) y+ A" U' q
具体说明：顾名思意就是服务器只允许IP地址为多少或者IP地址位于哪个网段的机器登陆。
　( `, x9 G9 C" u9 n1 P7 d
步骤：（撰稿中，请大家关注）
　* S7 D6 N4 B1 W' M, V
5、3389大家都耳熟能详，所以这个数字我们要更改掉；
6 E3 e" l9 c0 f" X6 d9 T
具体说明：改端口（三个字，很好理解吧！）
　
步骤：（撰稿中，请大家关注）2 v5 D5 a$ P$ J' G) h
　
6、残念……（(*^__^*) 嘻嘻……，卖个关子！）
　
6 \, }5 W/ ]% V; |$ _" ]1 K
　　由于最近时间紧张，所以教程近期出的可能有点慢，还希望大家海涵，其实关于终端服务器的安全，除开我上面说的最基本的那些方法，我相信大家都有自己的思路，希望我的这篇文章在这里仅仅是起到抛砖引玉的作用，希望我能在后面看见更好的方案，当然，等到教程结束的时候，我会将后面也就是第6步的终极（自认为的）方法传授给大家，给点你们点提示，这个方法有点复杂，但是是我花了半个月才慢慢想出来的。。。。。。绝对是3AST首发！不过还希望大家能看在我时间有限的情况下，原谅我的教程的更新速度。

严重强调：肯定有很多人会说，我又没服务器，这些东西我又无法实践，学了也没用！记住千万不要产生这种想法，你现在只能说是你现在没有，现在并不代表以后，记住，多学一点东西对自己而言只有好处没有坏处的，所以我希望大家能够认真的学习！希望会的人能够给出自己的建议，希望不会的人都能够学会，这是我所希望的。

最后说明：这篇文章只是从安全的角度出发，并不是说按照我的以上设置，你的服务器就刀枪不入了！记住，在网络中是没有绝对的安全的，我的这些方法只是希望能够最大限度的来保障终端服务器的安全！: @" D" `6 l+ c* p( j
2 m" F6 M" x* A
[ 本帖最后由 saitojie 于 2008-12-24 19:05 编辑 ]