具有一定規(guī)模的局域網(wǎng)，其中的服務器和客戶端不計其數(shù)，并且分布在各地，如何對它們實施高效管理呢?遠程控制無疑是非常有效的方法，但是遠程登錄的安全性也是管理人員必須要面對的難題。當前的遠程控制軟件非常多，但一般都是基于C/S模式的，需要在客戶端和服務器端做好安全部署。本文就以Windows系統(tǒng)集成的“遠程桌面”、“Telnet”、“VPN”三個遠程控制工具為例，說說如何加強其遠程登錄的安全性。

　　一、遠程登錄安全從系統(tǒng)帳戶入手

　　利用“遠程桌面”、“Telnet”、“VPN”進行遠程登錄，需要獲得遠程主機的帳戶和密碼，因此做好系統(tǒng)帳戶的安全非常重要。

　　1、為系統(tǒng)帳戶改名，防登錄測試

　　Administrator和guest是Windows 2000/XP/2003默認的系統(tǒng)帳戶，正因如此它們是最可能被利用，攻擊者通過破解碼而登錄服務器。對此，我們可以通過為其改名進行防范。

　　administrator改名：“開始→運行”，在其中輸入Secpol.msc回車打開本地安全組策略，在左側(cè)窗格中依次展開“安全設置→本地策略→安全選項”，在右側(cè)找到并雙擊打開“帳戶：重命名系統(tǒng)管理員帳戶”，然后在其中輸入新的名稱比如gslw即可。

　　

　　圖1

　　guest改名：在局域網(wǎng)中通過“網(wǎng)上鄰居”進行文件共享時需要開啟guest帳戶，但是它往往被入侵者利用。比如啟用guest后將其加入到管理員組實施后期的控制。我們通過改名可防止類似的攻擊，改名方法和administrator一樣，在上面的組策略項下找到“帳戶：重命名來賓帳戶”，然后在其中輸入新的名稱即可。

　　2、啟用密碼策略，防暴力破解

　　如果系統(tǒng)的密碼不復合型復雜性要求，就有可能被暴力破解。而用戶常常為了方便記憶，密碼總是比較簡單。為此我們可以啟用密碼策略，強制用戶設置復雜密碼。

　　密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面：強制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合復雜性要求，用可還原的加密來存儲密碼。

　　對于本地計算機的用戶帳戶，其密碼策略設置是在“本地安全設置”管理工個中進行的。下面是具體的配置方法：執(zhí)行“開始→管理工具→本地安全策略”打開“本地安全設置”窗口。打開“用戶策略”選項，然后再選擇“密碼策略”選項，在右邊詳細信息窗口中將顯示可配置的密碼策略選項的當前配置。然后雙擊相應的項打開“屬性”后進行配置。需要說明的是，“強制密碼歷史”和“用可還原的加密來儲存密碼”這兩項密碼策略最好保持默認，不要去修改。

　　

　　圖2

　　3、啟用帳戶鎖定，防惡意登錄

 

　　當系統(tǒng)帳戶密碼不夠“強壯”時，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)，存在很大的安全風險。那如何來防止黑客猜解或者爆破服務器密碼呢?

　　其實，要避免這一情況，通過組策略設置帳戶鎖定策略即可完美解決。此時當某一用戶嘗試登錄系統(tǒng)輸入錯誤密碼的次數(shù)達到一定閾值即自動將該帳戶鎖定，在帳戶鎖定期滿之前，該用戶將不可使用，除非管理員手動解除鎖定。其設置方法如下：

　　在開始菜單的搜索框輸入“Gpedit.msc”打開組策略對象編輯器，然后依次點擊定位到“計算機設置→Windows設置→安全設置→帳戶策略→帳戶鎖定策略”策略項下。雙擊右側(cè)的“帳戶鎖定閾值”，此項設置觸發(fā)用戶帳戶被鎖定的登錄嘗試失敗的次數(shù)。該值在0到999之間，默認為0表示登錄次數(shù)不受限制。大家可以根據(jù)自己的安全策略進行設置，比如設置為5。

　　

　　圖3

　　二、嚴密部署，加強系統(tǒng)遠程工具的安全性

　　1、“遠程桌面”的安全措施

　　遠程桌面是比較常用的服務器管理方式，但是開啟“遠程桌面”就好像系統(tǒng)打開了一扇門，人可以進來，蒼蠅蚊子也可以進來。所以要做好安全措施。

　　(1).限制可登錄的帳戶

　　點擊“遠程桌面”下方的“選擇用戶”按鈕，然后在“遠程桌面用戶” 窗口中點擊“添加”按鈕輸入允許的用戶，或者通過“高級→立即查找”添加用戶。由于遠程登錄有一定的安全風險，管理員一定要嚴格控制可登錄的帳戶。

　　

　　圖4#p#副標題#e#

　　(2).更改默認端口

 

　　遠程桌面默認的連接端口是3389，攻擊者就可以通過該端口進行連接嘗試。因此，安全期間要修改該端口，原則是端口號一般是1024以后的端口，而且不容易被猜到。更改遠程桌面的連接端口要通過注冊表進行，打開注冊表編輯器，定位到如下注冊表項：

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

　　分別將其右側(cè)PortNumber的值改為其它的值比如9833，需要說明的是該值是十六進制的，更改時雙擊PortNumber點選“十進制”，然后輸入9833。

　　

　　圖5

　　2、加強Telnet連接的安全

　　Telnet是命令行下的遠程登錄工具，因為是系統(tǒng)集成并且操作簡單，所以在服務器管理占有一席之地。因為它在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。，并且其默認的端口是23這是大家都知道的。因此我們需要加強telnet的安全性。

　　(1).修改默認端口

 

　　本地修改2003服務器的telnet端口方法是:“開始→運行”輸入cmd打開命令提示符，然后運行命令“tlntadmn config port=800”(800是修改后的telnet端口，為了避免端口沖突不用設置成已知服務的端口。

　　

　　圖6

　　當然，我們也可以遠程修改服務器的telnet端口，在命令提示符下輸入命令“tlntadmn config \192.168.1.9 port=800 -u gslw -p test168 ”(\192.168.1.9對方IP，port=800要修改為的telnet端口，-u指定對方的用戶名，-p指定對方用戶的密碼。

　　

　　圖7

　　(2).用SSH替代Telnet

　　SSH(Secure Shell)，它包括服務器端和客戶端兩部分。SSH客戶端與服務器端通訊時，用戶名和密碼均進行了加密，這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數(shù)據(jù)包都是“非明碼”的方式。更重要的是它提供了圖形界面，同時也可以在命令行(shell)下進行操作。

　　

　　圖8

　　3、加強VPN連接的安全

 

　　適應信息化和移動辦公的需要，很多企業(yè)都部署了VPN服務器。而采用基于Windows Server 2003的“路由和遠程訪問”服務搭建的VPN不失為一種安全、方便的遠程訪問解決方案，也是當前大多數(shù)中小型企業(yè)的首選。VPN的安全威脅就來自這條線路之外，即Internet為VPN服務器配置PPTP數(shù)據(jù)包篩選器，是個比較有效的辦法。其原則是，賦予接入VPN的客戶端最少特權(quán)，并且丟棄除明確允許的數(shù)據(jù)包以外的其它所有數(shù)據(jù)包。

　　(1).快速部署VPN

　　在windows2003中“路由和遠程訪問”，默認狀態(tài)已經(jīng)安裝。只需對此服務進行必要的配置使其生效即可。依次選擇“開始”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口;再在窗口右邊右擊本地計算機名，選擇“配置并啟用路由和遠程訪問”。在出現(xiàn)的配置向?qū)Т翱邳c下一步，進入服務選擇窗口。如果你的服務器只有一塊網(wǎng)卡，那只能選擇“自定義配置”;而標準VPN配置是需要兩塊網(wǎng)卡的，如果你服務器有兩塊網(wǎng)卡，則可有針對性的選擇第一項或第三項。然后一路點擊下一步即可開始VPN服務。

　　(2).部署IPSEC數(shù)據(jù)包過濾

　　配置輸入篩選器：只允許來自PPTP VPN客戶端的入站通信，操作如下：

　　第一步：依次執(zhí)行“開始→程序→管理工具”，打開“路由和遠程訪問”窗口。在其控制臺的左側(cè)窗口依次展開“服務器名(本地)→IP路由選擇”，然后單擊“常規(guī)”在右側(cè)窗格中雙擊“本地連接”，打開“本地連接屬性”對話框。

　　

　　圖9#p#副標題#e#

　　第二步：在“常規(guī)”選項卡中單擊“入站篩選器”，然在打開的“入站篩選器”對話框中點擊“新建”按鈕，打開“添加IP篩選器”對話框。勾選“目標網(wǎng)絡”復選框，在“IP地址”編輯框中鍵入該外部接口的IP地址，在“子網(wǎng)掩碼”編輯框中鍵入“255.255.255.255”，在“協(xié)議”框下拉菜單中選中“TCP”協(xié)議，在彈出的“目標端口”框中鍵入端口號“1723”，然后單擊“確定”按鈕。

　　

　　圖10

　　第三步：回到“入站篩選器”對話框，點選“丟棄所有的包，滿足下列條件的除外”單選框，然后反單擊“新建”按鈕，勾選“目標網(wǎng)絡”復選框。在“IP地址”編輯框中鍵入該外部接口的IP地址，在“子網(wǎng)掩碼”編輯框中鍵入“255.255.255.255”，在“協(xié)議”框下拉菜單中選中“其他”，在“在協(xié)議號”框中鍵入“47”，最后依次單擊“確定”按鈕完成設置。

 

　　

　　圖11

　　配置輸出篩選器：配置PPTP輸出篩選器，其目的是只允許到達PPTP VPN客戶端的出站通信，操作如下：

　　第一步：在“路由和遠程訪問”窗口打開外部接口屬性對話框，然后在“常規(guī)”選項卡中單擊“出站篩選器”按鈕，在打開的“出站篩選器”窗口中單擊“新建”按鈕，打開“添加IP篩選器”對話框。勾選 “源網(wǎng)絡”復選框，在“IP地址”編輯框中鍵入該外部接口的IP地址，子網(wǎng)掩碼為“255.255.255.255”，指定協(xié)議為“TCP”，并指定“源端口”號為“1723”，單擊“確定”按鈕。

　　

　　圖12

　　第二步：回到“出站篩選器”對話框，點選“丟棄所有的包，滿足下列條件的除外”單選框。然后單擊“新建”按鈕，勾選“源網(wǎng)絡”復選框。在“IP地址”編輯框中鍵入該外部接口的IP地址，“子網(wǎng)掩碼”為“255.255.255.255”，在“協(xié)議”框下拉菜單中選中“其他”，指定“協(xié)議號”為“47”，最后依次單擊“確定”按鈕完成設置。

 

　　

　　圖13

　　“1723”端口是VPN服務器默認使用的端口，而“47”則代表TCP協(xié)議。完成上述設置后，就只有那些基于PPTP的VPN客戶端可以訪問VPN服務器的外部接口了，這樣就極大地加固了VPN的安全性。

　　總結(jié)：本文基于系統(tǒng)談了從帳戶管理和登錄工具方面加強遠程登錄的安全性，文中涉及的登錄工具都是系統(tǒng)集成的。當然，在實際應用中管理員們也許會選擇第三方的遠程管理工具，但是不管怎么樣，一定要做好安全部署。遠程控制是“雙刃劍”，方便了管理員也為攻擊者提供了便利，把好這道門是至關(guān)重要的。