保障网络安全从管理账号开始

重庆帝一网络建设专家 http://www.diy88.com.cn

取消组用户网络访问权

很多时候，网络管理员为了图管理方便，往往会对某一组用户集中授权，这样虽然提高了网络管理效率，但是这也给网络安全带来了潜在的威胁，因为一些木马程序会偷偷将自己创建的用户账号，加入到访问权限比较高的组用户中，那样一来木马程序就能轻易获得非法攻击权限。有鉴于此，我们需要在重要的主机系统或服务器系统中，取消组用户网络访问权，下面就是具体的操作步骤：

首先打开重要主机系统或服务器系统的“开始”菜单，点选其中的“运行”命令，在弹出的系统运行框中，执行“gpedit.msc”字符串命令，弹出组策略控制台界面;

其次展开该控制台界面中的“计算机配置”节点，再打开该节点下面的“Windows设置”目录，从中依次点选“安全设置”、“本地策略”、“用户权限分配”子目录，在目标子目录下面找到组策略选项“从网络访问此计算机”，同时用鼠标双击该选项，弹出如图1所示的选项设置对话框;

 

在这里，我们会发现各个普通用户以及组用户的身影，这些用户在默认状态下都具有一定的网络访问权限;为了控制网络访问安全性，我们必须将自己认为可疑的组用户选中，同时单击“删除”按钮，最后点击“确定”按钮保存好上述设置操作，如此一来隐藏在特定组用户中的木马程序就不能通过网络来随意访问本地系统了。

为新用户设置合适权限

如果有一些可信任的新用户需要通过网络访问本地服务器系统，那么我们需要在服务器系统中单独创建一个新用户，并为新用户设置适当的访问权限。要做到这一点，我们可以先打开服务器系统的控制面板窗口，双击其中的“管理工具”图标，再在管理工具列表中双击“计算机管理”图标，弹出计算机管理窗口;展开左侧区域的“本地用户和组”节点，从中选择“用户”选项，同时用鼠标右键单击“用户”选项，并点选右键菜单中的“新用户”命令，弹出如图2所示的创建对话框;在这里，必须设置好新用户的名称以及密码，特别是要将密码设置得稍微复杂一些，以防止这个用户账号被他人轻易暴力破解;当然，我们在这里不要轻易将新用户账号添加到其他组用户中。

 

接下来，我们再打开服务器系统的资源管理器窗口，从中找到新用户需要访问的目标资源文件夹，同时用鼠标右键单击该文件夹图标，并点选快捷菜单中的“属性”命令，弹出目标文件夹的属性设置对话框;单击其中的“安全”标签，在对应标签设置页面中，单击“添加”按钮，打开用户账号选择对话框，从中将之前创建好的新用户账号选中并添加进来，最后再将合适的访问权限一并授予给新用户。

让特定用户拥有控制权限

为了方便管理网络，我们很多时候都需要通过网络，对局域网中的重要主机系统进行远程控制;可是，随意开启远程控制功能，容易给服务器或重要主机系统带来安全威胁。有鉴于此，我们应该按照如下操作步骤，将远程控制权限授予值得信任的特别用户：

首先在需要进行远程控制的主机系统中，用鼠标右键单击桌面上的“我的电脑”图标，并点选快捷菜单中的“管理”命令，弹出对应系统的计算机管理窗口，将鼠标定位于该窗口左侧的“系统工具”节点上，再依次展开该节点下面的“本地用户和组”、“用户”选项，从用户列表中找到有权进行远程控制的特定用户，用鼠标右键单击该特定用户选项，并执行快捷菜单中的“属性”命令，弹出特定用户的属性设置对话框;

其次单击该对话框中的“隶属于”标签，弹出如图3所示的标签设置页面，检查该页面中是否包含“Remote Desktop Users”组用户选项，如果没有的话，我们可以直接单击“添加”按钮，再逐一单击“高级”、“立即查找”按钮，将“Remote Desktop Users”组用户选中并添加进来，最后单击“确定”按钮执行设置保存操作，这么一来特定用户就拥有远程控制本地服务器系统的权限了。

 

当然，我们还能通过另外一种方法，让特定用户拥有控制权限，具体操作方法是：先右击“我的电脑”，点选右键菜单中的“属性”命令，弹出系统属性对话框，单击“远程”选项卡，在远程选项设置页面中，单击“选择远程用户”按钮，再单击“添加”按钮，将特定用户的账号选中并添加进来。

强制对用户进行网络验证

很多时候，网络管理员在进行远程管理操作时，为了图方便，不设置远程登录密码，日后他们在进行远程控制操作时，就不需要进行网络验证，就能直接登录进入局域网服务器系统了，很显然这对服务器系统来说是非常危险的。为了保证远程控制的安全，我们需要想办法强制对用户进行网络验证，下面就是具体的设置步骤：

首先在服务器系统中依次点选“开始”、“运行”选项，打开对应系统的运行文本框，在其中执行“regedit”字符串命令，弹出注册表控制台界面;依次展开该界面左侧的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon，将“Winlogon”子项下面的“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”键值全部选中并删除掉;

其次再打开服务器系统的“开始”菜单，点选“运行”命令，在弹出的系统运行框中执行“control userpasswords2”命令，进入用户账户设置对话框;点选“用户”选项卡，选中需要对服务器系统进行远程控制的特定账号，再将“要使用本机，用户必须输入用户和密码”选项选中(如图4所示)，最后单击“确定”按钮执行设置保存操作，这么一来服务器系统日后就会强制对用户进行网络验证操作了。

　

 

为了更进一步地控制网络访问安全，Windows Server 2008服务器系统特意提出了网络身份验证功能，这种功能强制用户必须在安全性能更高的Windows Vista以上版本的计算机系统中，才能有权利对服务器系统进行远程控制操作，要启用该功能时我们可以按照如下方法进行操作：

首先依次点选Windows Server 2008服务器系统的“开始”/“设置”/“控制面板”选项，弹出系统控制面板窗口，逐一点选其中的“系统和维护”、“系统”图标，再单击其后界面左侧列表中的“远程设置”按钮，弹出远程设置对话框;将该对话框中的“只允许运行带网络身份验证的远程桌面的计算机连接(更安全)”选项选中，这么一来我们就能将服务器系统的网络身份验证功能成功启用起来了，日后远程控制用户只有从安全性能更高的计算机系统中，才能有资格对服务器系统进行远程控制操作。

监控用户账号登录状态

为了防止非法用户偷偷登录服务器系统，Windows Server 2008新增加了监控用户账号登录功能，巧妙地利用该功能，我们可以及时找到潜在的安全隐患，保证服务器系统始终能够稳定地运行。要启用监控用户账号登录功能，我们可以按照如下步骤进行操作：

首先打开Windows Server 2008系统的“开始”菜单，执行“运行”命令，在系统运行框中输入字符串命令“gpedit.msc”，单击回车键后，弹出组策略控制台界面;

其次依次展开该控制台界面左侧列表中的“计算机配置”/“管理模板”/“Windows组件”/“Windows登录选项”节点，用鼠标双击该节点下面的目标组策略选项“在用户登录期间显示有关以前登录的信息”，弹出如图5所示的选项设置对话框;选中该对话框中的“已启用”选项，同时单击“确定”按钮执行设置保存操作，这么一来Windows Server 2008服务器系统的监控用户账号登录功能就被成功启用了。

 

日后，我们每次重新启动Windows Server 2008服务器系统时，系统会自动把监控到的用户登录状态信息显示出来，到时我们就能从提示信息中及时了解到服务器中是否存在安全隐患