具有一定規模的局域網，其中的服務器和客戶端不計其數，并且分布在各地，如何對它們實施高效管理呢?遠程控制無疑是非常有效的方法，但是遠程登錄的安全性也是管理人員必須要面對的難題。當前的遠程控制軟件非常多，但一般都是基于C/S模式的，需要在客戶端和服務器端做好安全部署。本文就以Windows系統集成的“遠程桌面”、“Telnet”、“VPN”三個遠程控制工具為例，說說如何加強其遠程登錄的安全性。

　　一、遠程登錄安全從系統帳戶入手

　　利用“遠程桌面”、“Telnet”、“VPN”進行遠程登錄，需要獲得遠程主機的帳戶和密碼，因此做好系統帳戶的安全非常重要。

　　1、為系統帳戶改名，防登錄測試

　　Administrator和guest是Windows 2000/XP/2003默認的系統帳戶，正因如此它們是最可能被利用，攻擊者通過破解碼而登錄服務器。對此，我們可以通過為其改名進行防范。

　　administrator改名：“開始→運行”，在其中輸入Secpol.msc回車打開本地安全組策略，在左側窗格中依次展開“安全設置→本地策略→安全選項”，在右側找到并雙擊打開“帳戶：重命名系統管理員帳戶”，然后在其中輸入新的名稱比如gslw即可。

　　

　　圖1

　　guest改名：在局域網中通過“網上鄰居”進行文件共享時需要開啟guest帳戶，但是它往往被入侵者利用。比如啟用guest后將其加入到管理員組實施后期的控制。我們通過改名可防止類似的攻擊，改名方法和administrator一樣，在上面的組策略項下找到“帳戶：重命名來賓帳戶”，然后在其中輸入新的名稱即可。

　　2、啟用密碼策略，防暴力破解

　　如果系統的密碼不復合型復雜性要求，就有可能被暴力破解。而用戶常常為了方便記憶，密碼總是比較簡單。為此我們可以啟用密碼策略，強制用戶設置復雜密碼。

　　密碼策略作用于域帳戶或本地帳戶，其中就包含以下幾個方面：強制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合復雜性要求，用可還原的加密來存儲密碼。

　　對于本地計算機的用戶帳戶，其密碼策略設置是在“本地安全設置”管理工個中進行的。下面是具體的配置方法：執行“開始→管理工具→本地安全策略”打開“本地安全設置”窗口。打開“用戶策略”選項，然后再選擇“密碼策略”選項，在右邊詳細信息窗口中將顯示可配置的密碼策略選項的當前配置。然后雙擊相應的項打開“屬性”后進行配置。需要說明的是，“強制密碼歷史”和“用可還原的加密來儲存密碼”這兩項密碼策略最好保持默認，不要去修改。

　　

　　圖2

#p#副標題#e#

　　3、啟用帳戶鎖定，防惡意登錄

 

　　當系統帳戶密碼不夠“強壯”時，非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統，存在很大的安全風險。那如何來防止黑客猜解或者爆破服務器密碼呢?

　　其實，要避免這一情況，通過組策略設置帳戶鎖定策略即可完美解決。此時當某一用戶嘗試登錄系統輸入錯誤密碼的次數達到一定閾值即自動將該帳戶鎖定，在帳戶鎖定期滿之前，該用戶將不可使用，除非管理員手動解除鎖定。其設置方法如下：

　　在開始菜單的搜索框輸入“Gpedit.msc”打開組策略對象編輯器，然后依次點擊定位到“計算機設置→Windows設置→安全設置→帳戶策略→帳戶鎖定策略”策略項下。雙擊右側的“帳戶鎖定閾值”，此項設置觸發用戶帳戶被鎖定的登錄嘗試失敗的次數。該值在0到999之間，默認為0表示登錄次數不受限制。大家可以根據自己的安全策略進行設置，比如設置為5。

　　

　　圖3

　　二、嚴密部署，加強系統遠程工具的安全性

　　1、“遠程桌面”的安全措施

　　遠程桌面是比較常用的服務器管理方式，但是開啟“遠程桌面”就好像系統打開了一扇門，人可以進來，蒼蠅蚊子也可以進來。所以要做好安全措施。

　　(1).限制可登錄的帳戶

　　點擊“遠程桌面”下方的“選擇用戶”按鈕，然后在“遠程桌面用戶” 窗口中點擊“添加”按鈕輸入允許的用戶，或者通過“高級→立即查找”添加用戶。由于遠程登錄有一定的安全風險，管理員一定要嚴格控制可登錄的帳戶。

　　

　　圖4

#p#副標題#e#

　　(2).更改默認端口

 

　　遠程桌面默認的連接端口是3389，攻擊者就可以通過該端口進行連接嘗試。因此，安全期間要修改該端口，原則是端口號一般是1024以后的端口，而且不容易被猜到。更改遠程桌面的連接端口要通過注冊表進行，打開注冊表編輯器，定位到如下注冊表項：

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

　　分別將其右側PortNumber的值改為其它的值比如9833，需要說明的是該值是十六進制的，更改時雙擊PortNumber點選“十進制”，然后輸入9833。

　　

　　圖5

　　2、加強Telnet連接的安全

　　Telnet是命令行下的遠程登錄工具，因為是系統集成并且操作簡單，所以在服務器管理占有一席之地。因為它在網絡上用明文傳送口令和數據，別有用心的人非常容易就可以截獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的，就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。，并且其默認的端口是23這是大家都知道的。因此我們需要加強telnet的安全性。

#p#副標題#e#

　　(1).修改默認端口

 

　　本地修改2003服務器的telnet端口方法是:“開始→運行”輸入cmd打開命令提示符，然后運行命令“tlntadmn config port=800”(800是修改后的telnet端口，為了避免端口沖突不用設置成已知服務的端口。

　　

　　圖6

　　當然，我們也可以遠程修改服務器的telnet端口，在命令提示符下輸入命令“tlntadmn config 192.168.1.9 port=800 -u gslw -p test168 ”(192.168.1.9對方IP，port=800要修改為的telnet端口，-u指定對方的用戶名，-p指定對方用戶的密碼。

　　

　　圖7

　　(2).用SSH替代Telnet

　　SSH(Secure Shell)，它包括服務器端和客戶端兩部分。SSH客戶端與服務器端通訊時，用戶名和密碼均進行了加密，這就有效地防止了他人對密碼的盜取。而且通信中所傳送的數據包都是“非明碼”的方式。更重要的是它提供了圖形界面，同時也可以在命令行(shell)下進行操作。

　　

　　圖8

#p#副標題#e#

　　3、加強VPN連接的安全

 

　　適應信息化和移動辦公的需要，很多企業都部署了VPN服務器。而采用基于Windows Server 2003的“路由和遠程訪問”服務搭建的VPN不失為一種安全、方便的遠程訪問解決方案，也是當前大多數中小型企業的首選。VPN的安全威脅就來自這條線路之外，即Internet為VPN服務器配置PPTP數據包篩選器，是個比較有效的辦法。其原則是，賦予接入VPN的客戶端最少特權，并且丟棄除明確允許的數據包以外的其它所有數據包。

　　(1).快速部署VPN

　　在windows2003中“路由和遠程訪問”，默認狀態已經安裝。只需對此服務進行必要的配置使其生效即可。依次選擇“開始”→“管理工具”→“路由和遠程訪問”，打開“路由和遠程訪問”服務窗口;再在窗口右邊右擊本地計算機名，選擇“配置并啟用路由和遠程訪問”。在出現的配置向導窗口點下一步，進入服務選擇窗口。如果你的服務器只有一塊網卡，那只能選擇“自定義配置”;而標準VPN配置是需要兩塊網卡的，如果你服務器有兩塊網卡，則可有針對性的選擇第一項或第三項。然后一路點擊下一步即可開始VPN服務。

　　(2).部署IPSEC數據包過濾

　　配置輸入篩選器：只允許來自PPTP VPN客戶端的入站通信，操作如下：

　　第一步：依次執行“開始→程序→管理工具”，打開“路由和遠程訪問”窗口。在其控制臺的左側窗口依次展開“服務器名(本地)→IP路由選擇”，然后單擊“常規”在右側窗格中雙擊“本地連接”，打開“本地連接屬性”對話框。

　　

　　圖9

　　第二步：在“常規”選項卡中單擊“入站篩選器”，然在打開的“入站篩選器”對話框中點擊“新建”按鈕，打開“添加IP篩選器”對話框。勾選“目標網絡”復選框，在“IP地址”編輯框中鍵入該外部接口的IP地址，在“子網掩碼”編輯框中鍵入“255.255.255.255”，在“協議”框下拉菜單中選中“TCP”協議，在彈出的“目標端口”框中鍵入端口號“1723”，然后單擊“確定”按鈕。

　　

　　圖10

#p#副標題#e#

　　第三步：回到“入站篩選器”對話框，點選“丟棄所有的包，滿足下列條件的除外”單選框，然后反單擊“新建”按鈕，勾選“目標網絡”復選框。在“IP地址”編輯框中鍵入該外部接口的IP地址，在“子網掩碼”編輯框中鍵入“255.255.255.255”，在“協議”框下拉菜單中選中“其他”，在“在協議號”框中鍵入“47”，最后依次單擊“確定”按鈕完成設置。

 

　　

　　圖11

　　配置輸出篩選器：配置PPTP輸出篩選器，其目的是只允許到達PPTP VPN客戶端的出站通信，操作如下：

　　第一步：在“路由和遠程訪問”窗口打開外部接口屬性對話框，然后在“常規”選項卡中單擊“出站篩選器”按鈕，在打開的“出站篩選器”窗口中單擊“新建”按鈕，打開“添加IP篩選器”對話框。勾選 “源網絡”復選框，在“IP地址”編輯框中鍵入該外部接口的IP地址，子網掩碼為“255.255.255.255”，指定協議為“TCP”，并指定“源端口”號為“1723”，單擊“確定”按鈕。

　　

　　圖12

#p#副標題#e#

　　第二步：回到“出站篩選器”對話框，點選“丟棄所有的包，滿足下列條件的除外”單選框。然后單擊“新建”按鈕，勾選“源網絡”復選框。在“IP地址”編輯框中鍵入該外部接口的IP地址，“子網掩碼”為“255.255.255.255”，在“協議”框下拉菜單中選中“其他”，指定“協議號”為“47”，最后依次單擊“確定”按鈕完成設置。

 

　　

　　圖13

　　“1723”端口是VPN服務器默認使用的端口，而“47”則代表TCP協議。完成上述設置后，就只有那些基于PPTP的VPN客戶端可以訪問VPN服務器的外部接口了，這樣就極大地加固了VPN的安全性。

　　總結：本文基于系統談了從帳戶管理和登錄工具方面加強遠程登錄的安全性，文中涉及的登錄工具都是系統集成的。當然，在實際應用中管理員們也許會選擇第三方的遠程管理工具，但是不管怎么樣，一定要做好安全部署。遠程控制是“雙刃劍”，方便了管理員也為攻擊者提供了便利，把好這道門是至關重要的。