黑龍江 汪穎 郝龍海

通過(guò)遠(yuǎn)程桌面設(shè)置 加強(qiáng)校園服務(wù)器的安全性

黑龍江 汪穎 郝龍海

憑借安全優(yōu)勢(shì)，Windows Server 2008系統(tǒng)在校園中被廣泛使用。但是，這并不意味著Windows Server 2008系統(tǒng)的安全性就能讓人高枕無(wú)憂(yōu)了，當(dāng)我們開(kāi)啟了該系統(tǒng)自帶的遠(yuǎn)程桌面功能后，Windows Server 2008系統(tǒng)的安全問(wèn)題隨即就凸顯出來(lái)了，如果我們不對(duì)遠(yuǎn)程桌面功能進(jìn)行合適設(shè)置，那么Windows Server 2008服務(wù)器系統(tǒng)受到非法攻擊的可能性就會(huì)加大。為了讓W(xué)indows Server 2008系統(tǒng)更安全，本文總結(jié)了幾則遠(yuǎn)程桌面功能的安全設(shè)置。

遠(yuǎn)程桌面；校園；服務(wù)器；Windows Server 2008；安全性

一、強(qiáng)迫執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證

盡管傳統(tǒng)操作系統(tǒng)也具有遠(yuǎn)程桌面功能，不過(guò)Windows Server 2008系統(tǒng)對(duì)遠(yuǎn)程桌面功能的安全性能進(jìn)行了強(qiáng)化，它允許網(wǎng)絡(luò)管理員通過(guò)合適設(shè)置來(lái)強(qiáng)迫遠(yuǎn)程桌面連接用戶(hù)執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證，以防止一些非法用戶(hù)也趁機(jī)使用遠(yuǎn)程桌面功能來(lái)入侵Windows Server 2008服務(wù)器系統(tǒng)。要實(shí)現(xiàn)強(qiáng)迫遠(yuǎn)程桌面連接用戶(hù)執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證操作時(shí)，我們必須按照如下步驟來(lái)設(shè)置Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接參數(shù)：

首先以超級(jí)用戶(hù)的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，打開(kāi)對(duì)應(yīng)系統(tǒng)的“開(kāi)始”菜單，從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng)，打開(kāi)本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口。

其次將鼠標(biāo)定位于服務(wù)器管理器控制臺(tái)窗口左側(cè)顯示區(qū)域中的“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)上，在對(duì)應(yīng)“服務(wù)器管理”節(jié)點(diǎn)選項(xiàng)的右側(cè)顯示區(qū)域，單擊“服務(wù)器摘要”設(shè)置區(qū)域中的“配置遠(yuǎn)程桌面”鏈接，打開(kāi)服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對(duì)話(huà)框。

在該設(shè)置對(duì)話(huà)框的“遠(yuǎn)程桌面”處，服務(wù)器系統(tǒng)共為我們提供了三個(gè)設(shè)置選項(xiàng)，如果我們想讓局域網(wǎng)中的任何一臺(tái)普通計(jì)算機(jī)都能順利使用遠(yuǎn)程桌面連接來(lái)遠(yuǎn)程控制Windows Server 2008服務(wù)器系統(tǒng)時(shí)，那應(yīng)該將“允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接”功能選項(xiàng)選中，當(dāng)然這種功能選項(xiàng)容易對(duì)Windows Server 2008服務(wù)器系統(tǒng)的運(yùn)行安全性帶來(lái)麻煩。

為了讓我們能夠安全地使用遠(yuǎn)程桌面功能來(lái)遠(yuǎn)程控制服務(wù)器，Windows Server 2008系統(tǒng)推出了“只允許運(yùn)行帶網(wǎng)絡(luò)級(jí)身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”這一控制選項(xiàng)，我們只要將該控制選項(xiàng)選中，再單擊“確定”按鈕保存好設(shè)置操作，日后Windows Server 2008系統(tǒng)就會(huì)自動(dòng)強(qiáng)制對(duì)任何一位遠(yuǎn)程桌面連接用戶(hù)執(zhí)行網(wǎng)絡(luò)級(jí)身份驗(yàn)證操作了，這樣非法用戶(hù)自然也就不能輕易通過(guò)遠(yuǎn)程桌面連接功能來(lái)非法攻擊Windows Server 2008服務(wù)器系統(tǒng)了。

二、只許特定用戶(hù)使用遠(yuǎn)程桌面

要是開(kāi)通了Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能，本地服務(wù)器中也就多開(kāi)了一扇后門(mén)，有權(quán)限的用戶(hù)能進(jìn)來(lái)，沒(méi)有權(quán)限的用戶(hù)同樣也能進(jìn)來(lái)，如此一來(lái)本地服務(wù)器系統(tǒng)的運(yùn)行安全性自然就容易受到威脅。事實(shí)上，我們可以對(duì)Windows Server 2008服務(wù)器系統(tǒng)的遠(yuǎn)程桌面功能進(jìn)行合適設(shè)置，讓有遠(yuǎn)程管理需求的特定用戶(hù)能從遠(yuǎn)程桌面這扇后門(mén)中進(jìn)來(lái)，其他任何用戶(hù)都不允許自由進(jìn)出，那樣的話(huà)Windows Server 2008服務(wù)器系統(tǒng)受到非法攻擊的可能性就會(huì)大大降低了；要想讓特定用戶(hù)使用遠(yuǎn)程桌面功能，我們可以按照如下操作來(lái)設(shè)置Windows Server 2008服務(wù)器系統(tǒng)：

首先打開(kāi)Windows Server 2008服務(wù)器系統(tǒng)的“開(kāi)始”菜單，從中依次選擇“程序”、“管理工具”、“服務(wù)器管理器”選項(xiàng)，進(jìn)入本地服務(wù)器系統(tǒng)的服務(wù)器管理器控制臺(tái)窗口。

其次單擊服務(wù)器管理器控制臺(tái)窗口右側(cè)區(qū)域中的“配置遠(yuǎn)程桌面”鏈接選項(xiàng)，打開(kāi)服務(wù)器系統(tǒng)遠(yuǎn)程桌面功能的設(shè)置對(duì)話(huà)框，單擊該對(duì)話(huà)框中的“選擇用戶(hù)”按鈕，系統(tǒng)屏幕上將會(huì)出現(xiàn)設(shè)置窗口。

將該設(shè)置窗口中已經(jīng)存在的用戶(hù)賬號(hào)全部選中，并單擊“刪除”按鈕；之后，再單擊“添加”按鈕，在其后出現(xiàn)的用戶(hù)賬號(hào)瀏覽對(duì)話(huà)框中，找到有遠(yuǎn)程管理需求的特定用戶(hù)賬號(hào)，并將該賬號(hào)選中添加進(jìn)來(lái)，再單擊“確定”按鈕退出設(shè)置操作，這樣的話(huà)任何一位普通用戶(hù)日后都不能使用遠(yuǎn)程桌面功能來(lái)對(duì)Windows Server 2008服務(wù)器系統(tǒng)進(jìn)行遠(yuǎn)程管理了，而只有在這里設(shè)置的特定用戶(hù)才有權(quán)限通過(guò)遠(yuǎn)程桌面連接訪問(wèn)目標(biāo)服務(wù)器系統(tǒng)。

三、禁止administrator使用遠(yuǎn)程桌面

在缺省狀態(tài)下，Windows Server 2008服務(wù)器系統(tǒng)允許administrator賬號(hào)使用遠(yuǎn)程桌面功能，為了防止非法攻擊者嘗試使用該用戶(hù)賬號(hào)來(lái)攻擊本地服務(wù)器系統(tǒng)，我們可以按照下面的操作來(lái)禁止administrator賬號(hào)通過(guò)遠(yuǎn)程桌面連接來(lái)訪問(wèn)Windows Server 2008服務(wù)器系統(tǒng)。

由于從服務(wù)器系統(tǒng)中無(wú)法直接刪除administrator賬號(hào)，為此我們可以采用最為極端的方法，那就是將administrator賬號(hào)強(qiáng)行禁用；禁用該用戶(hù)賬號(hào)最簡(jiǎn)單的方法就是先依次單擊服務(wù)器系統(tǒng)桌面中的“開(kāi)始”/“程序”/“附件”選項(xiàng)，從下拉菜單中選中“命令提示符”命令，并用鼠標(biāo)右鍵單擊該命令選項(xiàng)，再執(zhí)行右鍵菜單中的“以管理員身份運(yùn)行”命令，打開(kāi)Windows Server 2008系統(tǒng)的MS-DOS工作窗口，在該窗口的命令行中執(zhí)行字符串命令“net user administrator/active:no”就可以了。

不過(guò)，上面的方法往往會(huì)影響網(wǎng)絡(luò)管理員正常管理服務(wù)器系統(tǒng)，為此我們還可以通過(guò)為administrator賬號(hào)更名的方式，來(lái)禁止administrator使用Windows Server 2008系統(tǒng)的遠(yuǎn)程桌面連接：

首先以超級(jí)用戶(hù)的身份登錄進(jìn)入Windows Server 2008服務(wù)器系統(tǒng)，依次單擊該系統(tǒng)桌面中的“開(kāi)始”/“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對(duì)話(huà)框中，輸入字符串命令“gpedit.msc”，單擊“確定”按鈕，打開(kāi)本地服務(wù)器系統(tǒng)的組策略編輯控制臺(tái)窗口。

其次在該控制臺(tái)窗口的左側(cè)列表區(qū)域中，將鼠標(biāo)定位于“計(jì)算機(jī)配置”分支選項(xiàng)上，再?gòu)脑摲种旅嬉来握归_(kāi)“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”，在對(duì)應(yīng)“安全選項(xiàng)”的右側(cè)顯示區(qū)域中，雙擊“帳戶(hù)：重命名系統(tǒng)管理員”目標(biāo)組策略選項(xiàng)，打開(kāi)選項(xiàng)設(shè)置窗口，在該窗口中我們就能將administrator的名稱(chēng)修改成其他人不容易猜中的賬號(hào)名稱(chēng)，最后單擊“確定”按鈕就能使設(shè)置生效了。

（作者單位：黑龍江護(hù)理高等專(zhuān)科學(xué)校）

（編輯 李艷華）