嚴(yán)格管理用戶賬號 控制網(wǎng)絡(luò)訪問真安全
為了控制網(wǎng)絡(luò)訪問安全,相信不少人平時都勤于挖掘、善于總結(jié),摸索出了許許多多有效的網(wǎng)絡(luò)安全控制經(jīng)驗,在這些經(jīng)驗體會的指導(dǎo)下,我們在控制網(wǎng)絡(luò)訪問安全方面的確取得了一定的成效??墒牵瑢@些經(jīng)驗、體會進行仔細(xì)推敲后,我們不難發(fā)現(xiàn)其中有很多內(nèi)容都必須通過外力工具才能完成,要是手頭沒有現(xiàn)成專業(yè)工具可以使用的情況下,我們又該如何有效控制網(wǎng)絡(luò)訪問安全呢?事實上,我們只要加強對客戶端系統(tǒng)進行安全設(shè)置,同樣也能夠有效控制網(wǎng)絡(luò)訪問安全;這不,本文現(xiàn)在就以嚴(yán)格管理系統(tǒng)賬號為操作藍本,向大家貢獻幾則有效控制網(wǎng)絡(luò)訪問安全的技巧,希望大家能從中得到幫助!
取消組用戶網(wǎng)絡(luò)訪問權(quán)
很多時候,網(wǎng)絡(luò)管理員為了圖管理方便,往往會對某一組用戶集中授權(quán),這樣雖然提高了網(wǎng)絡(luò)管理效率,但是這也給網(wǎng)絡(luò)安全帶來了潛在的威脅,因為一些木馬程序會偷偷將自己創(chuàng)建的用戶賬號,加入到訪問權(quán)限比較高的組用戶中,那樣一來木馬程序就能輕易獲得非法攻擊權(quán)限。有鑒于此,我們需要在重要的主機系統(tǒng)或服務(wù)器系統(tǒng)中,取消組用戶網(wǎng)絡(luò)訪問權(quán),下面就是具體的操作步驟:
首先打開重要主機系統(tǒng)或服務(wù)器系統(tǒng)的“開始”菜單,點選其中的“運行”命令,在彈出的系統(tǒng)運行框中,執(zhí)行“gpedit.msc”字符串命令,彈出組策略控制臺界面;
其次展開該控制臺界面中的“計算機配置”節(jié)點,再打開該節(jié)點下面的“Windows設(shè)置”目錄,從中依次點選“安全設(shè)置”、“本地策略”、“用戶權(quán)限分配”子目錄,在目標(biāo)子目錄下面找到組策略選項“從網(wǎng)絡(luò)訪問此計算機”,同時用鼠標(biāo)雙擊該選項,彈出如圖1所示的選項設(shè)置對話框;
在這里,我們會發(fā)現(xiàn)各個普通用戶以及組用戶的身影,這些用戶在默認(rèn)狀態(tài)下都具有一定的網(wǎng)絡(luò)訪問權(quán)限;為了控制網(wǎng)絡(luò)訪問安全性,我們必須將自己認(rèn)為可疑的組用戶選中,同時單擊“刪除”按鈕,最后點擊“確定”按鈕保存好上述設(shè)置操作,如此一來隱藏在特定組用戶中的木馬程序就不能通過網(wǎng)絡(luò)來隨意訪問本地系統(tǒng)了。
為新用戶設(shè)置合適權(quán)限
如果有一些可信任的新用戶需要通過網(wǎng)絡(luò)訪問本地服務(wù)器系統(tǒng),那么我們需要在服務(wù)器系統(tǒng)中單獨創(chuàng)建一個新用戶,并為新用戶設(shè)置適當(dāng)?shù)脑L問權(quán)限。要做到這一點,我們可以先打開服務(wù)器系統(tǒng)的控制面板窗口,雙擊其中的“管理工具”圖標(biāo),再在管理工具列表中雙擊“計算機管理”圖標(biāo),彈出計算機管理窗口;展開左側(cè)區(qū)域的“本地用戶和組”節(jié)點,從中選擇“用戶”選項,同時用鼠標(biāo)右鍵單擊“用戶”選項,并點選右鍵菜單中的“新用戶”命令,彈出如圖2所示的創(chuàng)建對話框;在這里,必須設(shè)置好新用戶的名稱以及密碼,特別是要將密碼設(shè)置得稍微復(fù)雜一些,以防止這個用戶賬號被他人輕易暴力破解;當(dāng)然,我們在這里不要輕易將新用戶賬號添加到其他組用戶中。
接下來,我們再打開服務(wù)器系統(tǒng)的資源管理器窗口,從中找到新用戶需要訪問的目標(biāo)資源文件夾,同時用鼠標(biāo)右鍵單擊該文件夾圖標(biāo),并點選快捷菜單中的“屬性”命令,彈出目標(biāo)文件夾的屬性設(shè)置對話框;單擊其中的“安全”標(biāo)簽,在對應(yīng)標(biāo)簽設(shè)置頁面中,單擊“添加”按鈕,打開用戶賬號選擇對話框,從中將之前創(chuàng)建好的新用戶賬號選中并添加進來,最后再將合適的訪問權(quán)限一并授予給新用戶。
讓特定用戶擁有控制權(quán)限
為了方便管理網(wǎng)絡(luò),我們很多時候都需要通過網(wǎng)絡(luò),對局域網(wǎng)中的重要主機系統(tǒng)進行遠程控制;可是,隨意開啟遠程控制功能,容易給服務(wù)器或重要主機系統(tǒng)帶來安全威脅。有鑒于此,我們應(yīng)該按照如下操作步驟,將遠程控制權(quán)限授予值得信任的特別用戶:
首先在需要進行遠程控制的主機系統(tǒng)中,用鼠標(biāo)右鍵單擊桌面上的“我的電腦”圖標(biāo),并點選快捷菜單中的“管理”命令,彈出對應(yīng)系統(tǒng)的計算機管理窗口,將鼠標(biāo)定位于該窗口左側(cè)的“系統(tǒng)工具”節(jié)點上,再依次展開該節(jié)點下面的“本地用戶和組”、“用戶”選項,從用戶列表中找到有權(quán)進行遠程控制的特定用戶,用鼠標(biāo)右鍵單擊該特定用戶選項,并執(zhí)行快捷菜單中的“屬性”命令,彈出特定用戶的屬性設(shè)置對話框;
其次單擊該對話框中的“隸屬于”標(biāo)簽,彈出如圖3所示的標(biāo)簽設(shè)置頁面,檢查該頁面中是否包含“Remote Desktop Users”組用戶選項,如果沒有的話,我們可以直接單擊“添加”按鈕,再逐一單擊“高級”、“立即查找”按鈕,將“Remote Desktop Users”組用戶選中并添加進來,最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作,這么一來特定用戶就擁有遠程控制本地服務(wù)器系統(tǒng)的權(quán)限了。
當(dāng)然,我們還能通過另外一種方法,讓特定用戶擁有控制權(quán)限,具體操作方法是:先右擊“我的電腦”,點選右鍵菜單中的“屬性”命令,彈出系統(tǒng)屬性對話框,單擊“遠程”選項卡,在遠程選項設(shè)置頁面中,單擊“選擇遠程用戶”按鈕,再單擊“添加”按鈕,將特定用戶的賬號選中并添加進來。
強制對用戶進行網(wǎng)絡(luò)驗證
很多時候,網(wǎng)絡(luò)管理員在進行遠程管理操作時,為了圖方便,不設(shè)置遠程登錄密碼,日后他們在進行遠程控制操作時,就不需要進行網(wǎng)絡(luò)驗證,就能直接登錄進入局域網(wǎng)服務(wù)器系統(tǒng)了,很顯然這對服務(wù)器系統(tǒng)來說是非常危險的。為了保證遠程控制的安全,我們需要想辦法強制對用戶進行網(wǎng)絡(luò)驗證,下面就是具體的設(shè)置步驟:
首先在服務(wù)器系統(tǒng)中依次點選“開始”、“運行”選項,打開對應(yīng)系統(tǒng)的運行文本框,在其中執(zhí)行“regedit”字符串命令,彈出注冊表控制臺界面;依次展開該界面左側(cè)的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,將“Winlogon”子項下面的“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”鍵值全部選中并刪除掉;
其次再打開服務(wù)器系統(tǒng)的“開始”菜單,點選“運行”命令,在彈出的系統(tǒng)運行框中執(zhí)行“control userpasswords2”命令,進入用戶賬戶設(shè)置對話框;點選“用戶”選項卡,選中需要對服務(wù)器系統(tǒng)進行遠程控制的特定賬號,再將“要使用本機,用戶必須輸入用戶和密碼”選項選中(如圖4所示),最后單擊“確定”按鈕執(zhí)行設(shè)置保存操作,這么一來服務(wù)器系統(tǒng)日后就會強制對用戶進行網(wǎng)絡(luò)驗證操作了。
為了更進一步地控制網(wǎng)絡(luò)訪問安全,Windows Server 2008服務(wù)器系統(tǒng)特意提出了網(wǎng)絡(luò)身份驗證功能,這種功能強制用戶必須在安全性能更高的Windows Vista以上版本的計算機系統(tǒng)中,才能有權(quán)利對服務(wù)器系統(tǒng)進行遠程控制操作,要啟用該功能時我們可以按照如下方法進行操作:
首先依次點選Windows Server 2008服務(wù)器系統(tǒng)的“開始”/“設(shè)置”/“控制面板”選項,彈出系統(tǒng)控制面板窗口,逐一點選其中的“系統(tǒng)和維護”、“系統(tǒng)”圖標(biāo),再單擊其后界面左側(cè)列表中的“遠程設(shè)置”按鈕,彈出遠程設(shè)置對話框;將該對話框中的“只允許運行帶網(wǎng)絡(luò)身份驗證的遠程桌面的計算機連接(更安全)”選項選中,這么一來我們就能將服務(wù)器系統(tǒng)的網(wǎng)絡(luò)身份驗證功能成功啟用起來了,日后遠程控制用戶只有從安全性能更高的計算機系統(tǒng)中,才能有資格對服務(wù)器系統(tǒng)進行遠程控制操作。
監(jiān)控用戶賬號登錄狀態(tài)
為了防止非法用戶偷偷登錄服務(wù)器系統(tǒng),Windows Server 2008新增加了監(jiān)控用戶賬號登錄功能,巧妙地利用該功能,我們可以及時找到潛在的安全隱患,保證服務(wù)器系統(tǒng)始終能夠穩(wěn)定地運行。要啟用監(jiān)控用戶賬號登錄功能,我們可以按照如下步驟進行操作:
首先打開Windows Server 2008系統(tǒng)的“開始”菜單,執(zhí)行“運行”命令,在系統(tǒng)運行框中輸入字符串命令“gpedit.msc”,單擊回車鍵后,彈出組策略控制臺界面;
其次依次展開該控制臺界面左側(cè)列表中的“計算機配置”/“管理模板”/“Windows組件”/“Windows登錄選項”節(jié)點,用鼠標(biāo)雙擊該節(jié)點下面的目標(biāo)組策略選項“在用戶登錄期間顯示有關(guān)以前登錄的信息”,彈出如圖5所示的選項設(shè)置對話框;選中該對話框中的“已啟用”選項,同時單擊“確定”按鈕執(zhí)行設(shè)置保存操作,這么一來Windows Server 2008服務(wù)器系統(tǒng)的監(jiān)控用戶賬號登錄功能就被成功啟用了。
日后,
關(guān)鍵詞:用戶賬號,網(wǎng)絡(luò)訪問安全
閱讀本文后您有什么感想? 已有 人給出評價!
- 1
- 1
- 1
- 1
- 1
- 1