如何安全登陆企业Windows服务器?
作者:朱伟日期:2010-04-14
对于服务器来说,安全性包括很多层面。但是登陆安全无疑是众多层面中最基础的、最关键的一个环节。而就是因为其比较基础,在现实工作中反而容易被遗忘。笔者对此做了几个总结,供大家参考。
一、学会使用Run As Administrator命令进行管理访问
在维护服务器的时候,往往需要管理员的角色才能够进行。当系统管理员以这个角色登陆到系统之后,可能中途会暂时离开。此时就容易被别有用心的人乘机利用。有时候,在使用网络上任何服务器之后注销管理员帐户往往是比较乏味的工作,很多人都会忘记。如果管理员忘记注销或者因为暂时离开尔没有退出管理员角色,那么任何经过工作站的人员只要他愿意就可以破坏网络基础设施和服务器系统。可见平台系统管理员以管理员的身份登陆到系统中去存在比较大的安全隐患。在这种情况下,该如何提高其安全性呢?
笔者认为,充分灵活使用Run As Administrator命令可以消除这种安全隐患。简单的说,任何IT人员在平时登陆的时候都是以受限制的用户登陆,如User组的角色。等到需要使用管理员角色来进行某些操作的时候,再通过Run AS Adminsitrator命令来改变权限。此时即使管理员维护任务结束后没有注销,后果也不会很严重。因为控制台不会赋予路过的用户全部服务器和网络的管理权限。其最多只能够运行管理员刚刚操作过的管理程序。而实际上过路人也很难了解前面的人操作哪些内容。
要实现这个安全措施,也比较简单,只需要按照如下的步骤操作即可。
第一步:先创建一个普通权限的用户
系统管理员可以在本机上或者活动目录计算机上创建一个普通角色的用户。在日常的工作中主要通过这个用户登陆到服务器系统。等到需要运行一些必须具有管理员权限才能够运行的程序,如计算机管理程序,则再通过Run As Adminsitrator命令来改变用户的权限。
第二步:以管理员角色运行管理工具
当某个程序需要以管理员角色才能够运行的时候,用户不需要进行注销等操作。而只需要选择所需要运行的程序,然后选择以Run As Adminsitrator角色运行即可。不过每次都这么操作显然有点麻烦。如果可以配置管理员的桌面以便在以后加入管理工具时让每个快捷方式都自动提示正确的证书的话,显然方便许多。要实现这个需求的话,可以按如下操作进行。如选择计算机管理程序(注意不用打开),由后右建选择“属性”,会打开如下的对话框。
在打开的对话框中,选择快捷方式选项卡,然后选择高级。系统会打开一个“高级属性”的对话框。在这个对话框中会看到一个“用管理员身份”运行的的选项。选中这个选项即可。以后在普通用户身份下运行这个应用程序,系统不会提示用户没有权限运行这个程序。而是会自动打开一个对话框,要求用户输入管理员的帐户与密码。
特别提醒:
要更改这个快捷方式的属性时,需要有管理员用户的权限。即普通用户角色无法进行如上的操作。所以需要管理员用户在自己的角色中,先更改相关管理程序快捷方式的属性。然后在普通用户角色登陆时就会自动生效。其次需要注意的是,更改这个属性之后,只有快捷方式会受到影响。如果直接去打开源程序,而不是通过快捷方式打开,仍然不会有这个小国。通常情况下,都是管理员将常用的管理工具的快捷方式部署在桌面上,然后更改这个快捷方式的属性。以后运行的时候,都直接通过双击桌面上的快捷方式来运行。而不是找到源程序的位置来打开。
二、拒绝某些用户的本地登陆
对于某些服务器来说,可能只允许用户远程登录,而不允许本地登陆。如现在有一个文件服务器,对于大部分用户来说,如普通的员工,其只能够远程访问,而不能够在本机上进行登陆。如此的话,就可以保证只有特定的用户可以在本机上登陆对服务器进行维护,从而提高服务器的安全。要实现这个安全措施的话,可以按如下几个步骤来操作。
第一步:在服务器上建立相关的角色
服务器部署完成之后一般都会有一个服务器角色与普通用户角色。为此通常情况下,只需要建立普通员工的角色。如可以按部门来设置角色。
第二步:指定拒绝本地登陆属性
以上角色建立好之后,依次打开开始、所有程序、管理工具、本地安全策略。然后在节点窗口中,选择“本地策略”、“用户权限分配”。在右边的窗口中,找到“拒绝本地登陆”选项,并双击打开。会弹开如下的对话框。
然后再将需要拒绝本地登陆的角色依次加入即可。
特别提醒:
一般情况下只允许两个组本地登陆即可。分别是管理员组与普通用户组。而普通用户组中往往只有一个用户,其不是为普通员工所使用的,而仍然是管理员所采用的。这主要是根据第一个建议,管理员在刚开始登陆的时候,以普通用户登陆。等到需要用到管理员权限的时候,再通过Run As Adminsitrator来进行转换。
三、只允许特定的计算机或者用户可以远程访问
某些服务器可能只允许特定的用户或者计算机才可以通过网络访问。如对于提供备份的服务器来说,只允许管理员可以远程访问。其他用户不能够通过网络来登陆。这可以提高备份服务器的安全。要实现这个需求,也比较简单。只需要依次打开开始、所有程序、管理工具、本地安全策略。然后在节点窗口中,选择“本地策略”、“用户权限分配”。在右边的窗口中,找到“从网络访问此计算机”,然后选择允许用户通过网络访问的角色即可,如下图所示。
从以上的设置中可以看出,这些内容在操作的时候,其实并没有难度。因为都是图形化界面,操作非常容易。其实难就难在与在规划服务器与网络安全的时候,很难想到这些内容。笔者认为管理员只有养成一个“从小到大”的习惯性思维之后,才能够切实做好服务器的安全性设计。