为了控制网络访问的安全,相信很多人平时都在勤于挖掘和总结,摸索出了很多行之有效的网络安全控制经验。在这些经验的指导下,我们在控制网络访问的安全性方面取得了一定的成果。但是仔细考虑这些经验,不难发现很多都要借助外部工具来完成。如果没有现成的专业工具可用,如何有效控制网络访问的安全性?其实我们只要加强客户端系统的安全设置,也可以有效控制网络访问安全。不会,本文以严格管理系统账号为基础,贡献几个有效控制网络访问安全的技巧。希望你能得到他们的帮助!
取消集团用户的网络访问权限。
很多时候,为了网络管理的方便,网络管理员往往会对某一组用户进行集中授权。这虽然提高了网络管理的效率,但也给网络安全带来了潜在的威胁,因为一些木马会将自己的用户账号偷偷添加到访问权限较高的用户群中,这样木马就很容易获得非法攻击权限。有鉴于此,我们需要取消重要主机系统或服务器系统中集团用户的网络访问权限。下面是具体的操作步骤:
首先打开重要主机系统或服务器系统的‘开始’菜单,点击‘运行’命令,在弹出的系统运行框中,执行‘gpedit . MSC’字符串命令,弹出组策略控制台界面;
其次,在控制台界面展开“计算机配置”节点,然后打开节点下的“Windows设置”目录,依次点击“安全设置”、“本地策略”和“用户权限分配”子目录,在目标子目录下找到组策略选项“从网络访问此计算机”。同时用鼠标双击该选项,弹出如图1所示的选项设置对话框。
在这里,我们会找到所有普通用户和群组用户,默认拥有一定的网络访问权限;为了控制网络访问的安全性,我们必须选择我们认为可疑的群组用户,同时点击‘删除’按钮,最后点击‘确定’按钮保存上述设置,这样隐藏在特定群组用户中的木马就无法通过网络自由访问本地系统。
为新用户设置适当的权限。
如果有一些可信的新用户需要通过网络访问本地服务器系统,那么我们需要在服务器系统中单独创建一个新用户,并为新用户设置适当的访问权限。为此,我们可以先打开服务器系统的控制面板窗口,双击‘管理工具’图标,然后双击管理工具列表中的‘电脑管理’图标,弹出电脑管理窗口;展开左侧区域中的“本地用户和组”节点,并选择“用户”选项。同时用鼠标右键点击‘用户’选项,在右键菜单中点击‘新建用户’命令,弹出如图2所示的创建对话框。这里需要设置新用户的名称和密码,尤其是密码要稍微复杂一点,防止这个用户账号被别人轻易暴力破解;当然,我们也不应该轻易在这里给其他用户组添加新的用户账号。
接下来,我们将打开服务器系统的资源管理器窗口,并找到新用户需要访问的目标资源文件夹。同时右击文件夹图标,点击快捷菜单中的‘属性’命令,弹出目标文件夹的属性设置对话框。单击“安全”选项卡,然后在相应的选项卡设置页面中单击“添加”按钮,打开“用户帐户选择”对话框,您可以在其中选择和添加之前创建的新用户帐户,并最终授予新用户适当的访问权限。
授予特定用户控制权。
为了方便地管理网络,我们经常需要通过网络远程控制局域网中的重要主机系统。但随意开启远程控制功能,很容易给服务器或重要主机系统带来安全威胁。有鉴于此,我们应该按照以下步骤将远程控制权限授予可信的特殊用户:
首先,在需要远程控制的主机系统中,用鼠标右键点击桌面上的‘我的电脑’图标,点击快捷菜单中的‘管理’命令,打开相应系统的电脑管理窗口。将鼠标放在窗口左侧的“系统工具”节点上,然后依次展开该节点下的“本地用户和组”和“用户”选项,从用户列表中找到有权远程控制的具体用户。
其次,点击该对话框中的‘归属’选项卡,弹出如图3所示的选项卡设置页面。检查页面是否包含“远程桌面用户”组选项。如果没有,我们可以直接点击“添加”按钮,然后依次点击“高级”和“立即查找”按钮,选择并添加“远程桌面用户”组,最后点击“确定”按钮执行设置。
当然,我们也可以使用另一种方法来使特定用户拥有控制权。具体操作方法是:右键‘我的电脑’,在右键菜单中点击‘属性’打开系统属性对话框,点击‘远程’选项卡,在远程选项设置页面中点击‘选择远程用户’按钮,然后点击‘添加’按钮,选择并添加特定用户的账号。
对用户实施网络身份验证。
很多时候,网络管理员为了方便,不会设置远程登录密码。以后他们进行远程控制操作时,可以直接登录局域网服务器系统,无需网络认证。显然,这对服务器系统来说是非常危险的。为了保证远程控制的安全性,我们需要找到一种方法来对用户实施网络认证。以下是具体的设置步骤:
首先,依次点击服务器系统中的‘开始’和‘运行’选项,打开对应系统的运行文本框,执行其中的‘regedit’字符串命令,弹出注册表控制台界面;依次展开界面左侧的HKEY _本地_机器\软件\微软\ windowsnt \当前版本\ Winlogon,选择并删除“Winlogon”子项下“DefaultUserName”、“DefaultPassword”和“AutoAdminlogon”的所有键值;
其次,打开服务器系统的‘开始’菜单,点击‘运行’命令,在弹出的系统运行框中执行‘控制用户密码2’命令,进入用户账号设置对话框;单击“用户”选项卡,选择需要远程控制服务器系统的特定帐户,然后选择“要使用这台机器,用户必须输入用户和密码”选项(如图4所示),最后单击“确定”按钮保存设置,这样服务器系统将在以后强制用户进行网络身份验证。
为了进一步控制网络访问的安全性,Windows Server 2008服务器系统特意提出了网络认证功能,强制用户只有在安全性能更高的Windows Vista或以上的计算机系统中,才有远程控制服务器系统的权限。要启用此功能,我们可以如下操作:
首先依次点击Windows Server 2008服务器系统的‘开始’/‘设置’/‘控制面板’选项,会弹出系统控制面板窗口。依次点击“系统和维护”和“系统”图标,然后点击界面左侧列表中的“远程设置”按钮,弹出远程设置对话框。在此对话框中选择“仅允许运行带有网络认证的远程桌面的计算机连接(更安全)”选项,以便我们可以成功启用服务器系统的网络认证功能。未来,远程控制用户只能从安全性能更高的计算机系统远程控制服务器系统。
监控用户帐户的登录状态
为了防止非法用户秘密登录服务器系统,Windows Server 2008新增加了监控用户帐户登录的功能。巧妙地使用该功能,可以及时发现潜在的安全隐患,保证服务器系统始终能够稳定运行。要启用监控用户账户登录功能,我们可以按照以下步骤操作:
首先打开Windows Server 2008系统的‘开始’菜单,执行‘运行’命令,在系统运行框中输入字符串命令‘gpedit . MSC’,点击回车键弹出组策略控制台界面;
其次,依次展开控制台界面左侧列表中的“计算机配置”/“管理模板”/“Windows组件”/“Windows登录选项”节点,用鼠标双击该节点下的目标组策略选项“显示用户登录时的历次登录信息”,弹出如图5所示的选项设置对话框;在此对话框中选择“启用”选项,然后单击“确定”按钮保存设置。因此,Windows Server 2008服务器系统的监控用户帐户登录功能已成功启用。
在未来,
