具有一定規(guī)模的局域網(wǎng)，其中的服務(wù)器和客戶端不計(jì)其數(shù)，并且分布在各地，如何對它們實(shí)施高效管理呢?遠(yuǎn)程控制無疑是非常有效的方法，但是遠(yuǎn)程登錄的安全性也是管理人員必須要面對的難題。當(dāng)前的遠(yuǎn)程控制軟件非常多，但一般都是基于C/S模式的，需要在客戶端和服務(wù)器端做好安全部署。本文就以Windows系統(tǒng)集成的“遠(yuǎn)程桌面”、“Telnet”、“VPN”三個(gè)遠(yuǎn)程控制工具為例，說說如何加強(qiáng)其遠(yuǎn)程登錄的安全性。

　　一、遠(yuǎn)程登錄安全從系統(tǒng)帳戶入手

　　利用“遠(yuǎn)程桌面”、“Telnet”、“VPN”進(jìn)行遠(yuǎn)程登錄，需要獲得遠(yuǎn)程主機(jī)的帳戶和密碼，因此做好系統(tǒng)帳戶的安全非常重要。

　　1、為系統(tǒng)帳戶改名，防登錄測試

　　Administrator和guest是Windows 2000/XP/2003默認(rèn)的系統(tǒng)帳戶，正因如此它們是最可能被利用，攻擊者通過破解碼而登錄服務(wù)器。對此，我們可以通過為其改名進(jìn)行防范。

　　administrator改名：“開始→運(yùn)行”，在其中輸入Secpol.msc回車打開本地安全組策略，在左側(cè)窗格中依次展開“安全設(shè)置→本地策略→安全選項(xiàng)”，在右側(cè)找到并雙擊打開“帳戶：重命名系統(tǒng)管理員帳戶”，然后在其中輸入新的名稱比如gslw即可。

　　

　　圖1

　　guest改名：在局域網(wǎng)中通過“網(wǎng)上鄰居”進(jìn)行文件共享時(shí)需要開啟guest帳戶，但是它往往被入侵者利用。比如啟用guest后將其加入到管理員組實(shí)施后期的控制。我們通過改名可防止類似的攻擊，改名方法和administrator一樣，在上面的組策略項(xiàng)下找到“帳戶：重命名來賓帳戶”，然后在其中輸入新的名稱即可。

　　2、啟用密碼策略，防暴力破解

　　如果系統(tǒng)的密碼不復(fù)合型復(fù)雜性要求，就有可能被暴力破解。而用戶常常為了方便記憶，密碼總是比較簡單。為此我們可以啟用密碼策略，強(qiáng)制用戶設(shè)置復(fù)雜密碼。

　　密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個(gè)方面：強(qiáng)制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合復(fù)雜性要求，用可還原的加密來存儲(chǔ)密碼。

　　對于本地計(jì)算機(jī)的用戶帳戶，其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個(gè)中進(jìn)行的。下面是具體的配置方法：執(zhí)行“開始→管理工具→本地安全策略”打開“本地安全設(shè)置”窗口。打開“用戶策略”選項(xiàng)，然后再選擇“密碼策略”選項(xiàng)，在右邊詳細(xì)信息窗口中將顯示可配置的密碼策略選項(xiàng)的當(dāng)前配置。然后雙擊相應(yīng)的項(xiàng)打開“屬性”后進(jìn)行配置。需要說明的是，“強(qiáng)制密碼歷史”和“用可還原的加密來儲(chǔ)存密碼”這兩項(xiàng)密碼策略最好保持默認(rèn)，不要去修改。

　　

　　圖2

　　3、啟用帳戶鎖定，防惡意登錄

 

　　當(dāng)系統(tǒng)帳戶密碼不夠“強(qiáng)壯”時(shí)，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)，存在很大的安全風(fēng)險(xiǎn)。那如何來防止黑客猜解或者爆破服務(wù)器密碼呢?

　　其實(shí)，要避免這一情況，通過組策略設(shè)置帳戶鎖定策略即可完美解決。此時(shí)當(dāng)某一用戶嘗試登錄系統(tǒng)輸入錯(cuò)誤密碼的次數(shù)達(dá)到一定閾值即自動(dòng)將該帳戶鎖定，在帳戶鎖定期滿之前，該用戶將不可使用，除非管理員手動(dòng)解除鎖定。其設(shè)置方法如下：

　　在開始菜單的搜索框輸入“Gpedit.msc”打開組策略對象編輯器，然后依次點(diǎn)擊定位到“計(jì)算機(jī)設(shè)置→Windows設(shè)置→安全設(shè)置→帳戶策略→帳戶鎖定策略”策略項(xiàng)下。雙擊右側(cè)的“帳戶鎖定閾值”，此項(xiàng)設(shè)置觸發(fā)用戶帳戶被鎖定的登錄嘗試失敗的次數(shù)。該值在0到999之間，默認(rèn)為0表示登錄次數(shù)不受限制。大家可以根據(jù)自己的安全策略進(jìn)行設(shè)置，比如設(shè)置為5。

　　

　　圖3

　　二、嚴(yán)密部署，加強(qiáng)系統(tǒng)遠(yuǎn)程工具的安全性

　　1、“遠(yuǎn)程桌面”的安全措施

　　遠(yuǎn)程桌面是比較常用的服務(wù)器管理方式，但是開啟“遠(yuǎn)程桌面”就好像系統(tǒng)打開了一扇門，人可以進(jìn)來，蒼蠅蚊子也可以進(jìn)來。所以要做好安全措施。

　　(1).限制可登錄的帳戶

　　點(diǎn)擊“遠(yuǎn)程桌面”下方的“選擇用戶”按鈕，然后在“遠(yuǎn)程桌面用戶” 窗口中點(diǎn)擊“添加”按鈕輸入允許的用戶，或者通過“高級→立即查找”添加用戶。由于遠(yuǎn)程登錄有一定的安全風(fēng)險(xiǎn)，管理員一定要嚴(yán)格控制可登錄的帳戶。

　　

　　圖4#p#副標(biāo)題#e#

　　(2).更改默認(rèn)端口

 

　　遠(yuǎn)程桌面默認(rèn)的連接端口是3389，攻擊者就可以通過該端口進(jìn)行連接嘗試。因此，安全期間要修改該端口，原則是端口號(hào)一般是1024以后的端口，而且不容易被猜到。更改遠(yuǎn)程桌面的連接端口要通過注冊表進(jìn)行，打開注冊表編輯器，定位到如下注冊表項(xiàng)：

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

　　分別將其右側(cè)PortNumber的值改為其它的值比如9833，需要說明的是該值是十六進(jìn)制的，更改時(shí)雙擊PortNumber點(diǎn)選“十進(jìn)制”，然后輸入9833。

　　

　　圖5

　　2、加強(qiáng)Telnet連接的安全

　　Telnet是命令行下的遠(yuǎn)程登錄工具，因?yàn)槭窍到y(tǒng)集成并且操作簡單，所以在服務(wù)器管理占有一席之地。因?yàn)樗诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且，這些服務(wù)程序的安全驗(yàn)證方式也是有其弱點(diǎn)的，就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。，并且其默認(rèn)的端口是23這是大家都知道的。因此我們需要加強(qiáng)telnet的安全性。

　　(1).修改默認(rèn)端口

 

　　本地修改2003服務(wù)器的telnet端口方法是:“開始→運(yùn)行”輸入cmd打開命令提示符，然后運(yùn)行命令“tlntadmn config port=800”(800是修改后的telnet端口，為了避免端口沖突不用設(shè)置成已知服務(wù)的端口。

　　

　　圖6

　　當(dāng)然，我們也可以遠(yuǎn)程修改服務(wù)器的telnet端口，在命令提示符下輸入命令“tlntadmn config \192.168.1.9 port=800 -u gslw -p test168 ”(\192.168.1.9對方IP，port=800要修改為的telnet端口，-u指定對方的用戶名，-p指定對方用戶的密碼。

　　

　　圖7

　　(2).用SSH替代Telnet

　　SSH(Secure Shell)，它包括服務(wù)器端和客戶端兩部分。SSH客戶端與服務(wù)器端通訊時(shí)，用戶名和密碼均進(jìn)行了加密，這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數(shù)據(jù)包都是“非明碼”的方式。更重要的是它提供了圖形界面，同時(shí)也可以在命令行(shell)下進(jìn)行操作。

　　

　　圖8

　　3、加強(qiáng)VPN連接的安全

 

　　適應(yīng)信息化和移動(dòng)辦公的需要，很多企業(yè)都部署了VPN服務(wù)器。而采用基于Windows Server 2003的“路由和遠(yuǎn)程訪問”服務(wù)搭建的VPN不失為一種安全、方便的遠(yuǎn)程訪問解決方案，也是當(dāng)前大多數(shù)中小型企業(yè)的首選。VPN的安全威脅就來自這條線路之外，即Internet為VPN服務(wù)器配置PPTP數(shù)據(jù)包篩選器，是個(gè)比較有效的辦法。其原則是，賦予接入VPN的客戶端最少特權(quán)，并且丟棄除明確允許的數(shù)據(jù)包以外的其它所有數(shù)據(jù)包。

　　(1).快速部署VPN

　　在windows2003中“路由和遠(yuǎn)程訪問”，默認(rèn)狀態(tài)已經(jīng)安裝。只需對此服務(wù)進(jìn)行必要的配置使其生效即可。依次選擇“開始”→“管理工具”→“路由和遠(yuǎn)程訪問”，打開“路由和遠(yuǎn)程訪問”服務(wù)窗口;再在窗口右邊右擊本地計(jì)算機(jī)名，選擇“配置并啟用路由和遠(yuǎn)程訪問”。在出現(xiàn)的配置向?qū)Т翱邳c(diǎn)下一步，進(jìn)入服務(wù)選擇窗口。如果你的服務(wù)器只有一塊網(wǎng)卡，那只能選擇“自定義配置”;而標(biāo)準(zhǔn)VPN配置是需要兩塊網(wǎng)卡的，如果你服務(wù)器有兩塊網(wǎng)卡，則可有針對性的選擇第一項(xiàng)或第三項(xiàng)。然后一路點(diǎn)擊下一步即可開始VPN服務(wù)。

　　(2).部署IPSEC數(shù)據(jù)包過濾

　　配置輸入篩選器：只允許來自PPTP VPN客戶端的入站通信，操作如下：

　　第一步：依次執(zhí)行“開始→程序→管理工具”，打開“路由和遠(yuǎn)程訪問”窗口。在其控制臺(tái)的左側(cè)窗口依次展開“服務(wù)器名(本地)→IP路由選擇”，然后單擊“常規(guī)”在右側(cè)窗格中雙擊“本地連接”，打開“本地連接屬性”對話框。

　　

　　圖9#p#副標(biāo)題#e#

　　第二步：在“常規(guī)”選項(xiàng)卡中單擊“入站篩選器”，然在打開的“入站篩選器”對話框中點(diǎn)擊“新建”按鈕，打開“添加IP篩選器”對話框。勾選“目標(biāo)網(wǎng)絡(luò)”復(fù)選框，在“IP地址”編輯框中鍵入該外部接口的IP地址，在“子網(wǎng)掩碼”編輯框中鍵入“255.255.255.255”，在“協(xié)議”框下拉菜單中選中“TCP”協(xié)議，在彈出的“目標(biāo)端口”框中鍵入端口號(hào)“1723”，然后單擊“確定”按鈕。

　　

　　圖10

　　第三步：回到“入站篩選器”對話框，點(diǎn)選“丟棄所有的包，滿足下列條件的除外”單選框，然后反單擊“新建”按鈕，勾選“目標(biāo)網(wǎng)絡(luò)”復(fù)選框。在“IP地址”編輯框中鍵入該外部接口的IP地址，在“子網(wǎng)掩碼”編輯框中鍵入“255.255.255.255”，在“協(xié)議”框下拉菜單中選中“其他”，在“在協(xié)議號(hào)”框中鍵入“47”，最后依次單擊“確定”按鈕完成設(shè)置。

 

　　

　　圖11

　　配置輸出篩選器：配置PPTP輸出篩選器，其目的是只允許到達(dá)PPTP VPN客戶端的出站通信，操作如下：

　　第一步：在“路由和遠(yuǎn)程訪問”窗口打開外部接口屬性對話框，然后在“常規(guī)”選項(xiàng)卡中單擊“出站篩選器”按鈕，在打開的“出站篩選器”窗口中單擊“新建”按鈕，打開“添加IP篩選器”對話框。勾選 “源網(wǎng)絡(luò)”復(fù)選框，在“IP地址”編輯框中鍵入該外部接口的IP地址，子網(wǎng)掩碼為“255.255.255.255”，指定協(xié)議為“TCP”，并指定“源端口”號(hào)為“1723”，單擊“確定”按鈕。

　　

　　圖12

　　第二步：回到“出站篩選器”對話框，點(diǎn)選“丟棄所有的包，滿足下列條件的除外”單選框。然后單擊“新建”按鈕，勾選“源網(wǎng)絡(luò)”復(fù)選框。在“IP地址”編輯框中鍵入該外部接口的IP地址，“子網(wǎng)掩碼”為“255.255.255.255”，在“協(xié)議”框下拉菜單中選中“其他”，指定“協(xié)議號(hào)”為“47”，最后依次單擊“確定”按鈕完成設(shè)置。

 

　　

　　圖13

　　“1723”端口是VPN服務(wù)器默認(rèn)使用的端口，而“47”則代表TCP協(xié)議。完成上述設(shè)置后，就只有那些基于PPTP的VPN客戶端可以訪問VPN服務(wù)器的外部接口了，這樣就極大地加固了VPN的安全性。

　　總結(jié)：本文基于系統(tǒng)談了從帳戶管理和登錄工具方面加強(qiáng)遠(yuǎn)程登錄的安全性，文中涉及的登錄工具都是系統(tǒng)集成的。當(dāng)然，在實(shí)際應(yīng)用中管理員們也許會(huì)選擇第三方的遠(yuǎn)程管理工具，但是不管怎么樣，一定要做好安全部署。遠(yuǎn)程控制是“雙刃劍”，方便了管理員也為攻擊者提供了便利，把好這道門是至關(guān)重要的。