帷幄

在平時的網(wǎng)絡(luò)運維過程中，善于使用遠(yuǎn)程登錄，可以大大提升工作效率。不過，經(jīng)常使用的遠(yuǎn)程桌面連接、Telnet連接、VPN連接等遠(yuǎn)程登錄方式，都有先天性的不足，如果對其不加以重視，它們可能會帶來安全麻煩。有鑒于此，我們需要采取措施，對它們進行安全防護，確保遠(yuǎn)程登錄不給網(wǎng)絡(luò)運維惹來安全麻煩！

謹(jǐn)防遠(yuǎn)程桌面惹麻煩

大家知道，當(dāng)將某臺網(wǎng)絡(luò)終端主機的遠(yuǎn)程桌面連接功能開啟成功后，就能在網(wǎng)絡(luò)的其他位置控制這臺終端主機。使用遠(yuǎn)程桌面連接，能夠很方便地對該終端主機進行任意操作，其操作效果就像在本地一樣，網(wǎng)絡(luò)運維人員經(jīng)常會用該功能，遠(yuǎn)程管理與控制局域網(wǎng)中的重要主機系統(tǒng)。不過，遠(yuǎn)程桌面功能的啟用，會打開終端主機系統(tǒng)的3389端口，該端口常常是黑客、木馬重點盯梢的對象。

為了防止遠(yuǎn)程桌面連接惹來安全麻煩，我們必須將3389端口修改為一個不被人所知的端口號碼，下面就是具體的修改步驟：逐一點擊“開始”、“運行”選項，彈出系統(tǒng)運行對話框，在其中執(zhí)行“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)。在該編輯窗口的左側(cè)顯示窗格中，依次跳轉(zhuǎn)到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp”注冊表節(jié)點上。

選中目標(biāo)節(jié)點下的“PortNumber”鍵值，用鼠標(biāo)雙擊之，展開如圖1所示的編輯鍵值對話框，在這里我們看到它的默認(rèn)數(shù)值為3389，此時輸入一個新的端口號碼，該號碼一定不能與本地計算機已經(jīng)開啟的端口號碼相同，假設(shè)它為5687，確認(rèn)后保存設(shè)置操作。

將鼠標(biāo)重新定位到“HKEY-LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp”注冊表節(jié)點上，將目標(biāo)節(jié)點下的PortNumber鍵值也修改為上面的5687，并重新啟動計算機系統(tǒng)，讓上述設(shè)置正式生效。

日后合法用戶需要與本地計算機建立遠(yuǎn)程桌面連接時，需要通過“IP地址：5687”的方式，才能保證遠(yuǎn)程登錄成功，不知道新端口的用戶是無法與本地系統(tǒng)建立遠(yuǎn)程桌面連接的。比方說，單位某臺服務(wù)器的IP地址為10.176.0.6，在局域網(wǎng)或其他位置與之建立遠(yuǎn)程桌面連接時，需要將遠(yuǎn)程連接地址設(shè)置成“10.176.0.6：5687”，才能保證遠(yuǎn)程登錄成功。

此外，我們也可以采用授權(quán)的方法，只讓合法用戶有權(quán)使用遠(yuǎn)程桌面連接。在進行授權(quán)時，可以先用鼠標(biāo)右鍵單擊“我的電腦”圖標(biāo)，單擊快捷菜單中的“屬性”命令，進入系統(tǒng)屬性對話框，選擇“遠(yuǎn)程”標(biāo)簽，在對應(yīng)標(biāo)簽頁面中按下“選擇用戶”按鈕，再單擊“添加”按鈕，選中并導(dǎo)人合法用戶賬號，確認(rèn)后保存設(shè)置即可。

還有一點要注意的是，很多黑客工具常常喜歡使用administrator賬號，來暴力破解服務(wù)器系統(tǒng)登錄密碼，如果禁止該賬號進行遠(yuǎn)程桌面Web連接，另外創(chuàng)建其他的復(fù)雜管理員賬戶來執(zhí)行遠(yuǎn)程Web連接任務(wù)，那么連接安全性就能明顯增強。在禁止administrator用戶使用遠(yuǎn)程桌面連接時，可以按照下面的步驟來操作：首先以管理員權(quán)限登錄服務(wù)器系統(tǒng)，依次單擊“開始”“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，單擊“確定”按鈕，切換到系統(tǒng)組策略編輯界面。其次從該界面左側(cè)樹形結(jié)構(gòu)圖中，依次展開“本地計算機策略”“計算機配置”“Windows設(shè)置”“安全設(shè)置”“本地策略”“用戶權(quán)限分配”分支選項，找到該分支下的“通過終端服務(wù)允許登錄”組策略，并用鼠標(biāo)雙擊之，打開對應(yīng)組策略屬性對話框，從中刪除Administrators賬號，再添加另外創(chuàng)建的管理員賬號名稱，確認(rèn)后保存設(shè)置操作即可。

謹(jǐn)防Telnet連接惹麻煩

Windows系統(tǒng)默認(rèn)會支持Telnet登錄功能，借助該功能我們可以輕松登錄進入遠(yuǎn)端Telnet服務(wù)器，對其進行類似在服務(wù)器控制臺上的操作。正常來說，為了提升網(wǎng)絡(luò)管理效率，很多網(wǎng)管員還是很樂意選用Telnet方式，對重要主機進行管理和維護的。可是，Telnet登錄功能在遠(yuǎn)程管理維護重要主機時，存在很大的安全隱患，它會用到眾所周知的23端口，而該端口也是黑客重點關(guān)注的對象。

那么怎樣才能預(yù)防黑客利用Telnet登錄功能的23端口，對網(wǎng)絡(luò)或主機發(fā)動惡意攻擊呢？很簡單！強制該功能使用一個陌生的端口號碼即可。例如，要將Telnet登錄功能使用的端口號碼，修改為陌生的1003號碼時，可以逐一點擊“開始”“運行”選項，彈出系統(tǒng)運行對話框，輸入“cmd”命令并回車，彈出MS-DOS工作窗口，在該窗口命令提示符下，輸入“tlntadmn config port=1003”命令，如圖2所示，這樣本地計算機的Telnet功能端口就變成“1003”了。當(dāng)然，使用的默認(rèn)端口號碼，一定不能和已知處于運行狀態(tài)的端口號碼一致，否則的話Telnet登錄功能將無法發(fā)揮作用。

日后，當(dāng)我們嘗試使用Telnet命令，遠(yuǎn)程登錄連接本地計算機時，必須在本地計算機的IP地址或主機名稱后面添加“：1003”，才能保證遠(yuǎn)程登錄連接成功。這時，黑客或惡意用戶將無法利用Telnet登錄功能進行非法破壞了。

另外，Telnet遠(yuǎn)程登錄操作基本都以明文方式傳輸數(shù)據(jù)，這容易造成數(shù)據(jù)傳輸發(fā)生泄密現(xiàn)象。為了避免這種現(xiàn)象，我們還可以使用支持加密功能的ssH連接替代Telnet遠(yuǎn)程連接，因為SSH登錄連接在傳輸信息時，會以加密形式對遠(yuǎn)程登錄會話數(shù)據(jù)和其他通信內(nèi)容提供安全性協(xié)議，惡意用戶即使通過技術(shù)措施中途竊取到了傳輸數(shù)據(jù)，也不能查看到具體的內(nèi)容。

謹(jǐn)防VPN連接惹麻煩

為了便于移動辦公，很多網(wǎng)管員都在單位內(nèi)網(wǎng)安裝了VPN服務(wù)器，單位員工通過VPN連接，就可以在因特網(wǎng)的任何角落處，遠(yuǎn)程瀏覽局域網(wǎng)內(nèi)部重要資源。不過，VPN連接由于要深入到單位內(nèi)網(wǎng)環(huán)境中，因此引起的許多安全隱患，還沒有得到每一位網(wǎng)絡(luò)管理員的高度重視。另外，為了保證連接順利，網(wǎng)管員取消了許多針對VPN連接的限制，這也容易被黑客非法利用。所以，我們可以采取下面的技術(shù)措施，來謹(jǐn)防VPN連接惹麻煩。

一是擴展安全策略

正常情況下，要是單位網(wǎng)絡(luò)管理員允許普通權(quán)限的用戶遠(yuǎn)程訪問，那需要創(chuàng)建合適的安全策略，以限制遠(yuǎn)程用戶的自由訪問。要是單位已經(jīng)啟用了一些特定系統(tǒng)環(huán)境下的安全防范標(biāo)準(zhǔn)，那么必須讓這些安全防范標(biāo)準(zhǔn)同時適用于遠(yuǎn)程連接用戶。例如，單位內(nèi)網(wǎng)環(huán)境要求員工必須使用最新版本的殺毒軟件和防火墻程序，那么VPN連接用戶也需要做到這一點。

二是進行密碼和安全認(rèn)證

VPN連接訪問的重點是圍繞密碼進行的，在訪問受限的工作環(huán)境中，登錄密鑰是一種有效的身份認(rèn)證形式。在安裝有證書服務(wù)器的環(huán)境下，使用數(shù)字證書認(rèn)證，更能保護VPN連接的安全性。此外，智能卡也越來越多地被用于身份認(rèn)證，不少單位或許已經(jīng)擁有一些特定形式的智能卡標(biāo)記系統(tǒng)，允許員工通過VPN連接進入單位內(nèi)網(wǎng)環(huán)境中，也可以通過這些智能卡標(biāo)記作為一種遠(yuǎn)程認(rèn)證手段。

三是強制加密傳輸數(shù)據(jù)

為了保證數(shù)據(jù)傳輸安全，我們可以對VPN服務(wù)器進行合適設(shè)置，強制其檢查數(shù)據(jù)傳輸是否采取了加密措施，如果沒有的話，就自動斷開遠(yuǎn)程連接。在VPN終端計算機中，依次單擊“開始”“設(shè)置”“網(wǎng)絡(luò)連接”命令，進入網(wǎng)絡(luò)連接列表窗口，從中找到“虛擬專用網(wǎng)絡(luò)”下的VPN連接，用鼠標(biāo)右鍵點擊該連接圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，彈出VPN連接屬性對話框。選擇“安全”選項卡，在對應(yīng)選項設(shè)置頁面中，將“要求數(shù)據(jù)加密（沒有就斷開）”選項取消選中即可。

四是使用日志加強監(jiān)控

與其他遠(yuǎn)程連接相同，VPN連接必須要開啟日志記錄功能。要是出現(xiàn)意外的話，系統(tǒng)管理員能夠通過觀察日志記錄，來判斷VPN連接建立的時間和日期，從而方便陜速定位安全隱患。此外，在運行預(yù)防監(jiān)控的網(wǎng)絡(luò)環(huán)境中，出現(xiàn)在系統(tǒng)日志文件中的任何異常，都能被網(wǎng)絡(luò)管理員在第一時間發(fā)現(xiàn)，這有利于管理員及時采取措施，排除VPN連接安全隱患。

五是控制VPN服務(wù)器身份驗證登錄次數(shù)

當(dāng)嘗試登錄次數(shù)超過規(guī)定數(shù)值時，強行將用戶計算機的IP地址自動鎖定起來，讓其在特定時間段內(nèi)無法繼續(xù)登錄訪問服務(wù)器中的內(nèi)容，以保護它的運行安全。在控制驗證登錄次數(shù)時，可以依次單擊服務(wù)器系統(tǒng)中的“開始”“運行”命令，彈出系統(tǒng)運行對話框，輸入“gpedit.msc”命令，單擊“確定”按鈕，切換到系統(tǒng)組策略編輯界面。其次在該界面左側(cè)列表中，將鼠標(biāo)定位到“本地計算機策略”“計算機配置”“Windows設(shè)置”“安全設(shè)置”“賬戶策略”“賬戶鎖定策略”分支選項上，用鼠標(biāo)雙擊該分支下的“賬戶鎖定閾值”組策略，在彈出如圖3所示的組策略屬性對話框中，輸入數(shù)字“3”，也就是3次無效登錄后，就強行將用戶IP地址鎖定起來，在之后的一段時間內(nèi)不讓該用戶繼續(xù)嘗試登錄。按照同樣的操作方法，再設(shè)置好“賬戶鎖定時間”，限制對方用戶在無效登錄后多長時間，才能繼續(xù)嘗試登錄服務(wù)器。之后設(shè)置好“復(fù)位賬戶鎖定計數(shù)器”組策略，指定服務(wù)器系統(tǒng)在多長時間后，自動復(fù)位“賬戶鎖定閾值”，該數(shù)值一定不能大于“賬戶鎖定時間”。