|
在平時管理、維護網絡的時候,為了提高管理維護效率,網管員往往會借助遠程桌面、telnet登錄、VPN連接等方式,來進行遠程訪問或控制操作。不過,在盡情享受遠程訪問便利的同時,也要警惕遠程訪問連接方式被惡意用戶利用,防止本地系統或網絡受到安全威脅。有鑒于此,本文現在就針對不同訪問連接方式,提出切實可行的安全防護措施,確保遠程訪問操作不會受到非法威脅!
警惕遠程桌面威脅 為了方便用戶進行遠程訪問操作,Windows系統自帶了遠程桌面連接功能,當將本地系統的遠程桌面連接功能成功啟用后,網管員就能在網絡的其他位置自由訪問、控制本地計算機系統了。借助這項連接功能,網管員能實時地遠程控制本地系統,進行遠程安裝程序、啟動軟件操作,所有的操作效果幾乎與本地一樣,這么一來網管員就能隨時隨地遠程控制單位網絡中的重要計算機系統了。 要享受遠程桌面連接便利,必須先要在服務器端系統和客戶端系統同時啟用遠程桌面連接功能。例如,要啟用Win7系統中的遠程桌面連接功能時,可以先用鼠標右鍵單擊系統桌面中的“計算機”圖標,執行右鍵菜單中的“屬性”命令,彈出計算機系統屬性管理界面,點擊左側區域中的“遠程設置”標簽,切換到如圖1所示的標簽設置頁面,選中“允許運行任意版本遠程桌面的計算機連接”或“僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接”選項,而后單擊“確定”按鈕,就能完成對應系統遠程桌面連接功能的啟用任務了。  一旦啟用了遠程桌面連接功能,黑客、木馬也容易借用該功能威脅網絡中重要主機系統的安全,為此,我們一定要想辦法保護遠程桌面連接的安全。
調整端口號碼 由于遠程桌面連接功能默認使用的3389端口號碼,被眾多黑客、木馬所熟悉,為了避免該功能被惡意用戶隨意使用,我們可以將該功能使用的端口號碼調整為一個不被外人熟悉的陌生號碼,以便降低遠程桌面連接的安全威脅。例如,要將遠程桌面端口號碼修改為2222時,可以按照如下步驟來操作: 首先打開本地系統的“開始”菜單,點選“運行”選項,彈出系統運行對話框,輸入“regedit”命令,切換到系統注冊表編輯界面;依次展開該界面左側的HKEY LOCAL MACHIN E\SYSTEM\Current Control Set\Control\Terminal Server\Win Stations\KDP—Tcp目錄,將該目錄下的PortNumber鍵值由“3389”調整為“2222”; 其次展開注冊表中HKEY-LOCALMACHINE\SYSTEM\Current Control Set\Control\Terminal Server\Wds\rdpwd\Tds\tcp目錄,將該目錄下的PortNumber鍵值由“3389”調整為“2222”,之后重新啟動計算機系統就能使上述設置生效了; 日后使用遠程桌面連接功能遠程訪問本地計算機系統時,必須通過“IP地址:端口”方式來進行。比方說,筆者單位局域網中有一臺61.155.50.140的服務器,現在要在家中使用遠程桌面連接功能遠程控制該服務器,那就需要先打開遠程桌面連接對話框,在如圖2所示的地址框中輸入“61.155.50.140:2222”,這樣才能確保遠程訪問操作成功進行。當然,這種遠程桌面連接方式與以往的連接方式,在速度和操作方面沒有任何差別,只是通過“2222”端口實現遠程桌面連接的。 授權合法用戶 啟用了遠程桌面連接功能后,計算機系統就好像人為地開了一扇后門,任何用戶包括黑客此時都能偷偷混入進來,對目標計算機系統進行一些非法操作。為了預防黑客等惡意用戶趁虛而入,我們有必要加強對遠程桌面連接操作的授權,僅讓合法用戶才有資格使用這項功能,下面就是為合法用戶授權的具體步驟: 首先用鼠標右鍵單擊系統桌面中的“計算機”圖標,執行右鍵菜單中的“屬性”命令,彈出計算機系統屬性管理界面,點擊左側區域中的“遠程設置”標簽,在對應標簽設置頁面中的“遠程桌面”位置處,點擊“選擇用戶”按鈕,打開如圖3所示的設置對話框,將所有已經存在的用戶賬號全部刪除掉;  強行身份驗證 在Vista以上版本系統中,啟用“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接(更安全)”功能,可以強行要求用戶進行網絡身份驗證,以此增強遠程桌面連接安全性。但是,Windows XP系統默認不支持網絡身份驗證功能,那樣一來通過遠程桌面連接方式遠程訪問該系統時,受到的安全威脅就比較大。其實,在Windows XP系統中下載安裝SP3補丁包后,通過簡單配置也能讓該系統支持網絡身份驗證功能,下面就是具體的配置步驟: 首先打開Windows XP系統的注冊表編輯窗口,展開該窗口中的HKEY LOCALMACHIN E\SYSTEM\Current Control Set\Control\Lsa目錄,雙擊該目錄下的“Security Packages”鍵值,切換到編輯多字符串設置框,正確輸入“tspkg”字符,按“確定”按鈕返回; 其次將鼠標定位到HKEY-LOCALMACHINE\SYSTEM\Current Control Set\Control\ServiceProvider目錄上,雙擊該目錄下的“SecurityProviders”鍵值,在彈出的數值數據框中正確輸入字符串“,credssp.dll”,再按“確定”按鈕保存設置操作;最后重新啟動計算機系統,這樣在遠程桌面連接框的“關于”設置頁面中,我們就能看到“支持網絡級別的身份驗證”功能選項了。 警惕telnet登錄威脅 telnet登錄命令是TCP/IP協議族中的一員,是Internet遠程登陸服務的標準協議和主要方式。它為用戶提供了在本地計算機上完成遠程主機工作的能力,在客戶端系統中使用telnet命令登錄連接到遠端的服務器,在本地系統輸入的命令能夠在服務器上自動運行,這種運行效果就像直接在服務器上直接輸入一樣,這樣網管員就能在本地系統遠程控制和操作遠端的服務器主機了。 很多時候,為了提高網絡訪問和控制效率,不少網管員常常會使用telnet登錄命令來遠程管理與控制局域網中的重要主機系統。默認狀態下,Windows 7系統是禁用telnet功能的,要想啟用這項功能時,可以依次單擊“開始”I“控制面板”選項,逐一雙擊“程序和功能”I“打開或關閉Windows功能”圖標,在其后彈出的列表中將“telnet服務器”I“telnet客戶端”等選項選中(如圖4所示),這樣telnet登錄功能就被成功啟用了。  首先依次單擊本地系統的“開始”I“運行”選項,在系統運行框中執行“cmd”命令,切換到DOS命令行窗口;在命令行提示符下,輸入字符串命令“tintadmn configport=122”(這里假設122為新的登錄端口),按回車鍵后,本地系統的telnet登錄端口就被調整為122了。當然,新設置的登錄端口號碼不能和本地系統中已開啟的號碼相同,否則telnet登錄操作將會失效。經過上述設置后,當用戶想telnet登錄本地系統時,就需要在本地系統主機的IP地址后面加上“:122”,才能確保telnet連接操作的成功。 在安全要求較高的場合下,我們也可以選用支持加密功能的SSH連接替代telnet登錄連接,這是由于SSH連接在傳輸數據之前,會采用特殊算法加密數據,之后才會在網絡中傳輸,惡意用戶即使采取技術手段中途竊取到了這些數據,也無法發現其中的具體內容,通過SSH連接能有效預防遠程訪問中的信息泄露問題,而且也能夠防止DNS欺騙和IP欺騙。使用SSH連接,還有一個額外的好處,那就是在網絡中傳輸的數據是經過壓縮的,所以可以加快數據傳輸的速度。 警惕VPN連接威脅 為了便于移動用戶訪問單位內部網絡資源,很多單位內網都架設了VPN服務器,用戶通過VPN連接可以隨時隨地遠程訪問內網資源。不過,VPN連接需要借助Internet傳輸通道才能完成,而且來自外網的訪問操作要進入單位內網核心,這樣就需要解除許多限制,沒有了諸多的限制,那么一些安全威脅就可能通過VPN連接進入單位內網。為此,我們有必要采取相關安全措施,來保護VPN連接安全。 進行日志跟蹤 為了及時發現VPN連接中的異常問題,我們必須加強對這種連接操作進行日志跟蹤記錄。一旦遇到不正常現象時,只要打開系統事件查看器,找到相關日志記錄,快速定位VPN連接的時間日期、目的地址、源地址,通過這些信息找到具體的故障原因。除了要對網絡登錄行為進行監控記錄外,還應該盡可能地監控連接會話信息。要是意外遇到安全事故時,那么可以利用的信息源就比較多,找到具體原因的速度就比較快。而且更為重要的是,倘若網絡中事先部署了預防監控措施,那么日志記錄中的任何異常現象,都能被網管員及時發現,這樣安全威脅程度將會始終處于可控狀態。 啟用安全策略 通常來說,要是單位內網允許用戶進行遠程訪問操作,常常會對這些訪問用戶應用事先定義好的安全策略,確保遠程訪問操作不會威脅內網安全。要是單位內網使用了一些標準的操作系統,那么也必須要求遠程訪問用戶使用同樣的安全標準。例如,單位內網要求每位員工都要安裝殺毒軟件,并且定期下載更新病毒數據庫,那么我們也要強制遠程訪問用戶滿足這些運行要求。 加強安全認證 警惕VPN連接威脅最有效的辦法,就是加強密碼認證,因為在安全性要求較高的網絡環境中,密碼是一種十分有效的認證形式,只有知道密碼的用戶,才能正常通過VPN連接進行遠程訪問。目前VPN連接可以采用身份認證技術、加解密技術、隧道技術、密鑰管理技術等來確保網絡連接安全,其中在用戶身份驗證安全技術方面,VPN連接主要是通過PPP協議用戶級身份驗證的方法來進行驗證,這些驗證方法包括質詢握手身份驗證、密碼身份驗證、可擴展身份驗證、Shiva密碼身份驗證等。在數據加密和密鑰管理方面,VPN連接采用MPPE加密算法和IPSec機制加密上網數據,同時采用公、私密鑰對的方法管理密鑰內容。 |
|
|
