怎麼保證遠端登入伺服器安全
遠端登入進行伺服器的管理和維護是管理員的日常工作之一,如何保障遠登入的安全性也是大家必須要考慮的問題。本文將從帳戶管理和登入工具的安全部署兩個方面入手,談談如何實現服務的安全登入。
一、嚴密設定加強帳戶安全
1、帳戶改名
Administrator和guest是Server 2003預設的系統帳戶,正因如此它們是最可能被利用,攻擊者通過破解密碼而登入伺服器。對此,我們可以通過為其改名進行防範。
administrator改名:“開始→執行”,在其中輸入Secpol.msc回車開啟本地安全組策略,在左側窗格中依次展開“安全設定→本地策略 →安全選項”,在右側找到並雙擊開啟“帳戶:重命名系統管理員帳戶”,然後在其中輸入新的名稱比如gslw即可。(圖1)
guest改名:作為伺服器一般是不開啟guest帳戶的,但是它往往被入侵者利用。比如啟用guest後將其加入到管理員組實施後期的控制。我們通過改 名可防止類似的攻擊,改名方法和administrator一樣,在上面的組策略項下找到“帳戶:重新命名來賓帳戶”,然後在其中輸入新的名稱即可。
2、密碼策略
密碼策略作用於域帳戶或本地帳戶,其中就包含以下幾個方面:強制密碼歷史,密碼最長使用期限,密碼最短使用期限,密碼長度最小值,密碼必須符合複雜性要求,用可還原的加密來
儲存密碼。
對於本地計算機的使用者帳戶,其密碼策略設定是在“本地安全設定”管理工箇中進行的。下面是具體的配置方法:執行“開始→管理工具→本地安全策略”開啟 “本地安全設定”視窗。開啟“使用者策略”選項,然後再選擇“密碼策略”選項,在右邊詳細資訊視窗中將顯示可配置的密碼策略選項的當前配置。然後雙擊相應的 項開啟“屬性”後進行配置。需要說明的是,“強制密碼歷史”和“用可還原的加密來儲存密碼”這兩項密碼策略最好保持預設,不要去修改。(圖2)
3、帳戶鎖定
當伺服器帳戶密碼不夠“強壯”時,非法使用者很容易通過多次重試“猜”出使用者密碼而登入系統,存在很大的安全風險。那如何來防止黑客猜解或者爆破伺服器密碼呢?
其實,要避免這一情況,通過組策略設定帳戶鎖定策略即可完美解決。此時當某一使用者嘗試登入系統輸入錯誤密碼的次數達到一定閾值即自動將該帳戶鎖定,在帳戶鎖定期滿之前,該使用者將不可使用,除非管理員手動解除鎖定。其設定方法如下:
在開始選單的搜尋框輸入“Gpedit.msc”開啟組策略物件編輯器,然後依次點選定位到“計算機設定→
Windows設定→安全設定→帳戶策略→帳戶鎖定策略”策略項下。雙擊右側的“帳戶鎖定閾值”,此項設定觸發使用者帳戶被鎖定的登入嘗試失敗的次數。該值在0到999之間,預設為0表示登入次數不受限制。大家可以根據自己的安全策略進行設定,比如設定為5。(圖3)
二、安全登入伺服器
1、遠端桌面
遠端桌面是比較常用的伺服器管理方式,但是開啟“遠端桌面”就好像系統打開了一扇門,人可以進來,蒼蠅蚊子也可以進來。所以要做好安全措施。
(1).使用者限制
點選“遠端桌面”下方的“選擇使用者”按鈕,然後在“遠端桌面使用者” 視窗中點選“新增”按鈕輸入允許的使用者,或者通過“高階→立即查詢”新增使用者。由於遠端登入有一定的安全風險,管理員一定要嚴格控制可登入的帳戶。(圖4)
(2).更改埠
遠端桌面預設的連線埠是3389,攻擊者就可以通過該埠進行連線嘗試。因此,安全期間要修改該埠,原則是埠號一般是1024以後的埠,而且不容易被猜到。更改遠端桌面的連線埠要通過登錄檔進行,開啟登錄檔編輯器,定位到如下注冊表項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
分別將其右側PortNumber的值改為其它的值比如9833,需要說明的是該值是十六進位制的,更改時雙擊PortNumber點選“十進位制”,然後輸入9833。(圖5)
2、telnet連線
telnet是命令列下的遠 程登入工具,因為是系統整合並且操作簡單,所以在伺服器管理佔有一席之地。因為它在網路上用明文傳送口令和資料,別有用心的人非常容易就可以截獲這些口令 和資料。而且,這些服務程式的安全驗證方式也是有其弱點的,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。,並且其默 認的埠是23這是大家都知道的。因此我們需要加強telnet的安全性。
(1).修改埠
本地修改2003伺服器的telnet埠方法是:“開始→執行”輸入cmd開啟命令提示符,然後執行命令“tlntadmn config port=800”(800是修改後的telnet埠,為了避免埠衝突不用設定成已知服務的埠。)(圖6)
當然,我們也可以遠端修改伺服器的telnet埠,在命令提示符下輸入命令“tlntadmn config
\\192.168.1.9port=800 -u gslw -p test168 ”(
\\192.168.1.9對方IP,port=800要修改為的telnet埠,-u指定對方的使用者名稱,-p指定對方使用者的密碼。)(圖7)
(2).用SSH替代Telnet
SSH(Secure Shell),它包括伺服器端和客戶端兩部分。SSH客戶端與伺服器端通訊時,使用者名稱和密碼均進行了加密,這就有效地防止了他人對密碼的盜取。而且通訊中 所傳送的資料包都是“非明碼”的方式。更重要的是它提供了圖形介面,同時也可以在命令列(shell)下進行操作。(圖8)
3、VPN連線的安全
適應資訊化和移動辦公的需要,很多企業都部署了VPN伺服器。而採用基於
WindowsServer 2003的“
路由和 遠端訪問”服務搭建的VPN不失為一種安全、方便的遠端訪問解決方案,也是當前大多數中小型企業的首選。VPN的安全威脅就來自這條線路之外,即 Internet為VPN伺服器配置PPTP資料包篩選器,是個比較有效的辦法。其原則是,賦予接入VPN的客戶端最少特權,並且丟棄除明確允許的資料包 以外的其它所有資料包。
(1).快速部署VPN
在windows2003中“路由和遠端訪 問”,預設狀態已經安裝。只需對此服務進行必要的配置使其生效即可。依次選擇“開始”→“管理工具”→“路由和遠端訪問”,開啟“路由和遠端訪問”服務窗 口;再在視窗右邊右擊本地計算機名,選擇“配置並啟用路由和遠端訪問”。在出現的配置嚮導視窗點下一步,進入服務選擇視窗。如果你的伺服器只有一塊網絡卡, 那隻能選擇“自定義配置”;而標準VPN配置是需要兩塊網絡卡的,如果你伺服器有兩塊網絡卡,則可有針對性的選擇第一項或第三項。然後一路點選下一步即可開始 VPN服務。
(2).IPSEC資料包過濾
配置輸入篩選器:只允許來自PPTP VPN客戶端的入站通訊,操作如下:
第一步:依次執行“開始→程式→管理工具”,開啟“路由和遠端訪問”視窗。在其控制檯的左側視窗依次展開“伺服器名(本地)→IP路由選擇”,然後單擊“常規”在右側窗格中雙擊“本地連線”,開啟“本地連線屬性”對話方塊。(圖9)
第二步:在“常規”選項卡中單擊“入站篩選器”,然在開啟的“入站篩選器”對話方塊中點選“新建”按鈕,開啟“新增IP篩選器”對話方塊。勾選“目標網路”復 選框,在“IP地址”編輯框中鍵入該外部介面的IP地址,在“子網掩碼”編輯框中鍵入“255.255.255.255”,在“
協議”框下拉選單中選中“TCP”
協議,在彈出的“目標埠”框中鍵入埠號“1723”,然後單擊“確定”按鈕。(圖10)
第三步:回到“入站篩選器”對話方塊,點選“丟棄所有的包,滿足下列條件的除外”單選框,然後反單擊“新建”按鈕,勾選“目標網路”複選框。在“IP地址”編輯框中鍵入該外部介面的IP地址,在“子網掩碼”編輯框中鍵入“255.255.255.255”,在“協議”框下拉選單中選中“其他”,在“在協議號”框中鍵入“47”,最後依次單擊“確定”按鈕完成設定。(圖11)
配置輸出篩選器:配置PPTP輸出篩選器,其目的是隻允許到達PPTP VPN客戶端的出站通訊,操作如下:
第一步:在“路由和遠端訪問”視窗開啟外部介面屬性對話方塊,然後在“常規”選項卡中單擊“出站篩選器”按鈕,在開啟的“出站篩選器”視窗中單擊“新建” 按鈕,開啟“新增IP篩選器”對話方塊。勾選 “源網路”複選框,在“IP地址”編輯框中鍵入該外部介面的IP地址,子網掩碼為“255.255.255.255”,指定協議為“TCP”,並指定“源 埠”號為“1723”,單擊“確定”按鈕。(圖12)
第二步:回到“出站篩選器”對話方塊,點選 “丟棄所有的包,滿足下列條件的除外”單選框。然後單擊“新建”按鈕,勾選“源網路”複選框。在“IP地址”編輯框中鍵入該外部介面的IP地址,“子網掩 碼”為“255.255.255.255”,在“協議”框下拉選單中選中“其他”,指定“協議號”為“47”,最後依次單擊“確定”按鈕完成設定。(圖 13)
“1723”埠是VPN伺服器預設使用的埠,而“47”則代表TCP協議。完成上述設定後,就只有那些基於PPTP的VPN客戶端可以訪問VPN伺服器的外部介面了,這樣就極大地加固了VPN的安全性。
總結:本文從帳戶管理和登入工具方面談了伺服器遠端登入的安全部署,文中涉及的登入工具都是系統整合的。當然,在實際應用中管理員們也許會選擇第三方的 遠端管理工具,但是不管怎麼樣,一定要做好安全部署。遠端控制是“雙刃劍”,方便了管理員也為攻擊者提供了便利,把好這道門是至關重要的。