如何安全登陸企業Windows服務器?
作者:朱偉日期:2010-04-14
對於服務器來說,安全性包括很多層面。但是登陸安全無疑是衆多層面中最基礎的、最關鍵的一個環節。而就是因爲其比較基礎,在現實工作中反而容易被遺忘。筆者對此做了幾個總結,供大家參考。
一、學會使用Run As Administrator命令進行管理訪問
在維護服務器的時候,往往需要管理員的角色才能夠進行。當系統管理員以這個角色登陸到系統之後,可能中途會暫時離開。此時就容易被別有用心的人乘機利用。有時候,在使用網絡上任何服務器之後註銷管理員帳戶往往是比較乏味的工作,很多人都會忘記。如果管理員忘記註銷或者因爲暫時離開爾沒有退出管理員角色,那麼任何經過工作站的人員只要他願意就可以破壞網絡基礎設施和服務器系統。可見平臺系統管理員以管理員的身份登陸到系統中去存在比較大的安全隱患。在這種情況下,該如何提高其安全性呢?
筆者認爲,充分靈活使用Run As Administrator命令可以消除這種安全隱患。簡單的說,任何IT人員在平時登陸的時候都是以受限制的用戶登陸,如User組的角色。等到需要使用管理員角色來進行某些操作的時候,再通過Run AS Adminsitrator命令來改變權限。此時即使管理員維護任務結束後沒有註銷,後果也不會很嚴重。因爲控制檯不會賦予路過的用戶全部服務器和網絡的管理權限。其最多隻能夠運行管理員剛剛操作過的管理程序。而實際上過路人也很難了解前面的人操作哪些內容。
要實現這個安全措施,也比較簡單,只需要按照如下的步驟操作即可。
第一步:先創建一個普通權限的用戶
系統管理員可以在本機上或者活動目錄計算機上創建一個普通角色的用戶。在日常的工作中主要通過這個用戶登陸到服務器系統。等到需要運行一些必須具有管理員權限才能夠運行的程序,如計算機管理程序,則再通過Run As Adminsitrator命令來改變用戶的權限。
第二步:以管理員角色運行管理工具
當某個程序需要以管理員角色才能夠運行的時候,用戶不需要進行註銷等操作。而只需要選擇所需要運行的程序,然後選擇以Run As Adminsitrator角色運行即可。不過每次都這麼操作顯然有點麻煩。如果可以配置管理員的桌面以便在以後加入管理工具時讓每個快捷方式都自動提示正確的證書的話,顯然方便許多。要實現這個需求的話,可以按如下操作進行。如選擇計算機管理程序(注意不用打開),由後右建選擇“屬性”,會打開如下的對話框。
在打開的對話框中,選擇快捷方式選項卡,然後選擇高級。系統會打開一個“高級屬性”的對話框。在這個對話框中會看到一個“用管理員身份”運行的的選項。選中這個選項即可。以後在普通用戶身份下運行這個應用程序,系統不會提示用戶沒有權限運行這個程序。而是會自動打開一個對話框,要求用戶輸入管理員的帳戶與密碼。
特別提醒:
要更改這個快捷方式的屬性時,需要有管理員用戶的權限。即普通用戶角色無法進行如上的操作。所以需要管理員用戶在自己的角色中,先更改相關管理程序快捷方式的屬性。然後在普通用戶角色登陸時就會自動生效。其次需要注意的是,更改這個屬性之後,只有快捷方式會受到影響。如果直接去打開源程序,而不是通過快捷方式打開,仍然不會有這個小國。通常情況下,都是管理員將常用的管理工具的快捷方式部署在桌面上,然後更改這個快捷方式的屬性。以後運行的時候,都直接通過雙擊桌面上的快捷方式來運行。而不是找到源程序的位置來打開。
二、拒絕某些用戶的本地登陸
對於某些服務器來說,可能只允許用戶遠程登錄,而不允許本地登陸。如現在有一個文件服務器,對於大部分用戶來說,如普通的員工,其只能夠遠程訪問,而不能夠在本機上進行登陸。如此的話,就可以保證只有特定的用戶可以在本機上登陸對服務器進行維護,從而提高服務器的安全。要實現這個安全措施的話,可以按如下幾個步驟來操作。
第一步:在服務器上建立相關的角色
服務器部署完成之後一般都會有一個服務器角色與普通用戶角色。爲此通常情況下,只需要建立普通員工的角色。如可以按部門來設置角色。
第二步:指定拒絕本地登陸屬性
以上角色建立好之後,依次打開開始、所有程序、管理工具、本地安全策略。然後在節點窗口中,選擇“本地策略”、“用戶權限分配”。在右邊的窗口中,找到“拒絕本地登陸”選項,並雙擊打開。會彈開如下的對話框。
然後再將需要拒絕本地登陸的角色依次加入即可。
特別提醒:
一般情況下只允許兩個組本地登陸即可。分別是管理員組與普通用戶組。而普通用戶組中往往只有一個用戶,其不是爲普通員工所使用的,而仍然是管理員所採用的。這主要是根據第一個建議,管理員在剛開始登陸的時候,以普通用戶登陸。等到需要用到管理員權限的時候,再通過Run As Adminsitrator來進行轉換。
三、只允許特定的計算機或者用戶可以遠程訪問
某些服務器可能只允許特定的用戶或者計算機纔可以通過網絡訪問。如對於提供備份的服務器來說,只允許管理員可以遠程訪問。其他用戶不能夠通過網絡來登陸。這可以提高備份服務器的安全。要實現這個需求,也比較簡單。只需要依次打開開始、所有程序、管理工具、本地安全策略。然後在節點窗口中,選擇“本地策略”、“用戶權限分配”。在右邊的窗口中,找到“從網絡訪問此計算機”,然後選擇允許用戶通過網絡訪問的角色即可,如下圖所示。
從以上的設置中可以看出,這些內容在操作的時候,其實並沒有難度。因爲都是圖形化界面,操作非常容易。其實難就難在與在規劃服務器與網絡安全的時候,很難想到這些內容。筆者認爲管理員只有養成一個“從小到大”的習慣性思維之後,才能夠切實做好服務器的安全性設計。