為了提高工作效率，相信很多網(wǎng)絡(luò)管理員都喜歡使用遠(yuǎn)程控制方式來管理網(wǎng)絡(luò)，這種方式允許管理員在局域網(wǎng)的任何位置處對重要主機(jī)進(jìn)行管理、維護(hù)，確保網(wǎng)絡(luò)能夠始終高效、穩(wěn)定運(yùn)行。不過，在享受遠(yuǎn)程控制帶給自己便利的同時(shí)，我們也容易遭遇遠(yuǎn)程入侵安全威脅;為了讓遠(yuǎn)程網(wǎng)絡(luò)控制的安全更上一層樓，本文現(xiàn)在就為各位朋友貢獻(xiàn)幾則安全防護(hù)技巧，希望下面內(nèi)容能給大家?guī)韱l(fā)!

使用陌生端口進(jìn)行遠(yuǎn)程控制

為了讓網(wǎng)絡(luò)控制效率更高一些，很多人總喜歡借助遠(yuǎn)程登錄功能來對遠(yuǎn)程主機(jī)進(jìn)行控制與管理;可是，在利用Telnet命令進(jìn)行遠(yuǎn)程登錄控制操作時(shí)，我們往往都是使用默認(rèn)的“23”端口與遠(yuǎn)程主機(jī)進(jìn)行連接的，而這個(gè)默認(rèn)的端口號碼很多時(shí)候會被非法攻擊者利用，從而可能會給遠(yuǎn)程控制操作帶來安全威脅。為了讓遠(yuǎn)程控制操作更加安全，我們可以自己動手，將默認(rèn)的“23”端口修改成陌生的端口號碼，日后非法攻擊者由于不知道遠(yuǎn)程控制端口號碼，那么他們自然也就不能對遠(yuǎn)程控制操作帶來什么安全威脅了，下面是快速修改遠(yuǎn)程登錄端口號碼的具體設(shè)置步驟：

首先以系統(tǒng)管理員權(quán)限進(jìn)入目標(biāo)遠(yuǎn)程主機(jī)系統(tǒng)，打開該系統(tǒng)桌面中的“開始”菜單，從中點(diǎn)選“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，輸入字符串命令“cmd”，單擊“確定”按鈕后，進(jìn)入對應(yīng)系統(tǒng)的DOS命令行工作界面;

其次在該界面的命令行提示符下，輸入“tlntadmn config port=989”字符串命令，其中“989”為任意指定的一個(gè)遠(yuǎn)程登錄端口號碼，該號碼不能與其他已開通端口號碼相同，單擊回車鍵后，對應(yīng)系統(tǒng)的遠(yuǎn)程控制端口號碼就從默認(rèn)的“23”變成“989”了，如圖1所示。

圖1

成功修改好遠(yuǎn)程控制端口號碼后，我們必須確保該陌生的端口號碼不能讓其他人知道;此外，我們?nèi)蘸笮枰ㄟ^telnet命令與目標(biāo)主機(jī)系統(tǒng)建立遠(yuǎn)程控制連接時(shí)，必須使用類似“telnet host port”這樣的命令方式，其中host為遠(yuǎn)程主機(jī)的名稱或IP地址，port為新的控制端口號碼;例如，要遠(yuǎn)程登錄到10.176.6.1主機(jī)時(shí)，我們可以在DOS命令行狀態(tài)執(zhí)行“telnet 10.176.6.1 989”字符串命令就可以了。 #p#

使用高級防火墻保護(hù)遠(yuǎn)程連接

除了利用telnet功能對局域網(wǎng)中的重要主機(jī)進(jìn)行遠(yuǎn)程控制外，網(wǎng)絡(luò)管理員還可能會利用Windows系統(tǒng)自帶的遠(yuǎn)程桌面連接功能來對重要主機(jī)進(jìn)行網(wǎng)絡(luò)控制。為了防止普通用戶利用遠(yuǎn)程桌面連接功能對局域網(wǎng)中的重要主機(jī)進(jìn)行非法攻擊，我們可以想辦法來保護(hù)合法用戶的遠(yuǎn)程桌面連接，禁止非法用戶與重要主機(jī)創(chuàng)建遠(yuǎn)程桌面連接;在Windows Vista以上版本的系統(tǒng)環(huán)境中，我們可以利用系統(tǒng)自帶的高級安全防火墻功能，來保護(hù)合法用戶的遠(yuǎn)程桌面連接，下面就是具體的設(shè)置步驟：

首先打開Windows Vista系統(tǒng)的“開始”菜單，從中點(diǎn)選“運(yùn)行”命令，在彈出的系統(tǒng)運(yùn)行對話框中，執(zhí)行字符串命令“mmc”，進(jìn)入對應(yīng)系統(tǒng)的控制臺界面;單擊該界面中的“文件”菜單項(xiàng)，從下拉菜單中點(diǎn)選“添加/刪除管理單元”選項(xiàng)，選中“可用管理單元”列表框中的“高級安全Windows防火墻”項(xiàng)目，同時(shí)單擊“添加”按鈕，再單擊“確定”按鈕;

其次選中Windows Vista系統(tǒng)控制臺界面左側(cè)位置處的“高級安全Windows防火墻”項(xiàng)目，打開高級安全防火墻主界面，單擊其中的“入站規(guī)則”功能選項(xiàng)，同時(shí)點(diǎn)擊該選項(xiàng)下面的“新規(guī)則”按鈕，彈出新建入站規(guī)則向?qū)Т翱?考慮到遠(yuǎn)程桌面連接需要使用3389網(wǎng)絡(luò)端口，所以當(dāng)新建入站規(guī)則向?qū)Т翱谔崾疚覀兘⑹裁搭愋偷囊?guī)則時(shí)，我們應(yīng)該毫不猶豫地將“端口”選項(xiàng)選中，以便創(chuàng)建控制遠(yuǎn)程桌面連接端口的規(guī)則;

單擊“下一步”按鈕，依照提示選中“TCP協(xié)議”，同時(shí)將“特定本地端口”項(xiàng)目也選中，之后在對應(yīng)文本框中正確填寫好遠(yuǎn)程桌面連接端口號碼“3389”，在其后界面中選中“只允許安全連接”功能選項(xiàng)，以便只能局域網(wǎng)中特定的計(jì)算機(jī)進(jìn)行遠(yuǎn)程桌面連接;接下來系統(tǒng)屏幕會彈出如圖2所示的向?qū)гO(shè)置頁面，將其中的“只允許來自下列計(jì)算機(jī)的連接”項(xiàng)目選中，同時(shí)單擊“添加”按鈕，打開計(jì)算機(jī)選擇對話框，從中將我們認(rèn)為值得信任的合法計(jì)算機(jī)名稱或IP地址選中并加入進(jìn)來;

圖2

下面再將“域”、“專用”、“公用”等選項(xiàng)全部選中，同時(shí)為當(dāng)前創(chuàng)建的安全規(guī)則設(shè)置一個(gè)合適的規(guī)則名稱，再點(diǎn)擊“完成”按鈕保存好入站規(guī)則的設(shè)置操作。如此一來，日后我們只能從局域網(wǎng)中的特定計(jì)算機(jī)中利用遠(yuǎn)程桌面連接功能，來對重要主機(jī)進(jìn)行遠(yuǎn)程控制操作，其他計(jì)算機(jī)用戶在嘗試與局域網(wǎng)中的重要主機(jī)建立遠(yuǎn)程桌面連接時(shí)，會受到對應(yīng)系統(tǒng)高級安全防火墻的嚴(yán)格限制。 #p#

設(shè)置權(quán)限禁止隨意修改控制規(guī)則

前面我們也知道，在Windows Vista以上版本的系統(tǒng)環(huán)境中，我們可以利用高級安全防火墻功能自由定義各種各樣的安全規(guī)則，來確保網(wǎng)絡(luò)控制的絕對安全。不過，有一些高明的黑客為了穿越安全規(guī)則的限制，他們有時(shí)會想方設(shè)法修改高級安全防火墻的控制規(guī)則，以便取得非法控制權(quán)限;有鑒于此，我們可以嘗試按照下面的設(shè)置操作，來禁止普通用戶隨意修改高級安全防火墻的各種控制規(guī)則：

首先在Windows Vista系統(tǒng)桌面中依次點(diǎn)擊“開始”、“運(yùn)行”選項(xiàng)，在系統(tǒng)運(yùn)行框中輸入“regedit”字符串命令，單擊“確定”按鈕后進(jìn)入對應(yīng)本地系統(tǒng)的注冊表編輯界面;展開該界面左側(cè)位置處的HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules分支選項(xiàng)，從該注冊表分支下面我們看到許多防火墻的安全規(guī)則都保存在其中;

圖3

很顯然，要是允許任何普通用戶隨意訪問FirewallRules分支選項(xiàng)下面的內(nèi)容時(shí)，那么防火墻的安全規(guī)則可能會受到修改破壞，為此我們要想辦法禁止Everyone帳號對FirewallRules分支內(nèi)容進(jìn)行訪問。要做到這一點(diǎn)其實(shí)很簡單，我們只要將鼠標(biāo)定位于FirewallRules分支選項(xiàng)上，再依次單擊注冊表編輯窗口菜單欄中的“編輯”/“權(quán)限”命令，在彈出的目標(biāo)分支權(quán)限設(shè)置窗口中單擊“添加”按鈕，進(jìn)入用戶帳號選擇設(shè)置框，將“Everyone”帳號選中并將導(dǎo)入進(jìn)來;

接下來返回到用戶帳號列表框，將剛剛添加進(jìn)來的“Everyone”帳號選中，同時(shí)將對應(yīng)該帳號的“完全控制”權(quán)限設(shè)置為“拒絕”，再單擊“確定”按鈕保存好上述設(shè)置操作，這樣的話非法攻擊者日后就無法隨意修改Windows Vista系統(tǒng)的安全規(guī)則了，那么日后的網(wǎng)絡(luò)控制操作或許就能受到高級安全防火墻的保護(hù)了。 #p#

授權(quán)特定用進(jìn)行遠(yuǎn)程桌面連接

一般來說，屬于Administrator組的用戶在默認(rèn)狀態(tài)下都能對局域網(wǎng)中的重要主機(jī)進(jìn)行遠(yuǎn)程桌面連接，但是在實(shí)際進(jìn)行遠(yuǎn)程控制的過程中，我們有時(shí)只允許一個(gè)特定用戶對重要主機(jī)進(jìn)行遠(yuǎn)程桌面連接，其他用戶哪怕是系統(tǒng)管理員也不能隨便對重要主機(jī)進(jìn)行遠(yuǎn)程控制，這樣可以保證重要主機(jī)的絕對安全。遇到這種情形時(shí)，我們可以對遠(yuǎn)程桌面連接權(quán)限進(jìn)行設(shè)置，讓其只賦予自己信任的特定用戶，下面就是具體的設(shè)置步驟：

首先以系統(tǒng)管理員權(quán)限進(jìn)入局域網(wǎng)目標(biāo)重要主機(jī)系統(tǒng)，用鼠標(biāo)右鍵單擊該系統(tǒng)桌面中的“我的電腦”圖標(biāo)，從彈出的快捷菜單中執(zhí)行“屬性”命令，打開對應(yīng)系統(tǒng)的屬性設(shè)置窗口;

其次單擊該設(shè)置窗口中的“遠(yuǎn)程”選項(xiàng)卡，在對應(yīng)選項(xiàng)設(shè)置頁面的“遠(yuǎn)程桌面”位置處，選中“允許用戶遠(yuǎn)程連接到這臺計(jì)算機(jī)”選項(xiàng)，同時(shí)單擊對應(yīng)選項(xiàng)下面的“選擇遠(yuǎn)程用戶”按鈕，打開如圖4所示的設(shè)置對話框，在這里我們發(fā)現(xiàn)凡是隸屬于Administrator組的用戶在默認(rèn)狀態(tài)下都能通過遠(yuǎn)程桌面連接功能對本地系統(tǒng)進(jìn)行遠(yuǎn)程控制;

圖4

為了保證遠(yuǎn)程控制的絕對安全性，我們應(yīng)該先將默認(rèn)授權(quán)的Administrator組帳號選中，同時(shí)單擊“刪除”按鈕，取消Administrator組帳號的遠(yuǎn)程桌面連接權(quán)限;之后，單擊“添加”按鈕，從彈出的用戶賬號選擇對話框中，將我們認(rèn)為值得信任的特定賬號名稱選中并添加進(jìn)來，再單擊“確定”按鈕執(zhí)行設(shè)置保存操作，這么一來日后只有指定的用戶才能通過遠(yuǎn)程桌面連接功能對本地系統(tǒng)進(jìn)行遠(yuǎn)程控制，其他任何用戶包括網(wǎng)絡(luò)管理員都無法對其進(jìn)行遠(yuǎn)程控制操作，那么網(wǎng)絡(luò)控制的安全性也就能得到有效保證了。 #p#

設(shè)置策略謹(jǐn)防遠(yuǎn)程竊取權(quán)限賬號

不少技術(shù)高明的非法攻擊者常常會通過登錄遠(yuǎn)程目標(biāo)系統(tǒng)的SID標(biāo)識，來偷竊具有系統(tǒng)管理員權(quán)限的賬號名稱，日后再嘗試通過暴力破解的方法來獲取對應(yīng)帳號的密碼，如此一來他們就有可能獲得整個(gè)系統(tǒng)的遠(yuǎn)程控制權(quán)限，很顯然，要是遠(yuǎn)程目標(biāo)系統(tǒng)的系統(tǒng)管理員權(quán)限帳號名稱被他人偷竊得到的話，那么遠(yuǎn)程主機(jī)系統(tǒng)的安全性就可能會受到威脅了。為了謹(jǐn)防非法攻擊者偷竊遠(yuǎn)程主機(jī)系統(tǒng)的系統(tǒng)管理員帳號名稱，我們可以按照下面的方法修改遠(yuǎn)程主機(jī)系統(tǒng)的組策略參數(shù)：

首先以系統(tǒng)管理員權(quán)限帳號進(jìn)入遠(yuǎn)程主機(jī)系統(tǒng)，打開該系統(tǒng)桌面中的“開始”菜單，從中單擊“運(yùn)行”命令，打開對應(yīng)系統(tǒng)的運(yùn)行文本框，在其中輸入“gpedit.msc”字符串命令，進(jìn)入遠(yuǎn)程主機(jī)系統(tǒng)的組策略控制臺界面;

其次展開該控制臺界面左側(cè)位置處的“計(jì)算機(jī)配置”/“Windows設(shè)置”/“安全設(shè)置”/“本地策略”/“安全選項(xiàng)”組策略分支，并用鼠標(biāo)雙擊目標(biāo)分支下面的“網(wǎng)絡(luò)訪問：允許匿名SID/名稱轉(zhuǎn)換”選項(xiàng)，彈出如圖5所示的組策略屬性窗口，選中該窗口中的“已禁用”選項(xiàng)，再單擊“確定”按鈕保存好上述設(shè)置操作，如此一來任何用戶都將不能通過SID標(biāo)識來遠(yuǎn)程偷竊本地系統(tǒng)的系統(tǒng)管理員權(quán)限賬號名稱了，那么本地系統(tǒng)的安全性也就得到有效保證了。

圖5

【編輯推薦】

1. 遠(yuǎn)程控制網(wǎng)絡(luò)共享設(shè)備輕松實(shí)現(xiàn)
2. 應(yīng)用技巧：如何應(yīng)付遠(yuǎn)程控制服務(wù)器失敗