1、以telnet方式去管理
为了方便管理,我们可以让用户以telnet的方式登录,这样既省服务器的资源,又方便我们的管理,但却带来了相关的安全性问题:telnet的明文式传送带来的安全隐患,为此,我们必须修改telnet的默认端口,避免被人恶意扫描和攻击。
方法如下:
开始,运行regedit,打开注册表编辑器,找出位于/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/TelnetServer/1.0的TelnetPort,看到没有,TelnetPort默认的十进制端口号是23,在这里,我们可以将他修改为我们需要的端口号,但是有一个前提是,不能大于65535。例如:23174
2、远程终端的相关设置
(1)修改远程登录的默认端口号
众所周知,windows terminal service默认监听的端口号是3389,而“众人”,当然也包括网络上的一些闲人和有心人,这就要求我们改变ts默认的监听端口号,虽然说不上安全,但多少还是能起到点保护作用吧。
方法如下:
[1]开始,运行regedit,打开注册表编辑器,进入以下路径:[HKEY_LOCAL_MACHINE/SYSTEM/ CurrentControlSet/Control/Terminal Server/ Wds/rdpwd/Tds/tcp],看见PortNamber值了吗?其默认值是3389,修改成所希望的端口即可,例如63571。
[2]再打开[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Tenninal Server/WinStations/RDP-Tcp],将PortNumber的值(默认是3389)修改成端口63571。
修改完毕,重新启动电脑,以后远程登录的时候使用端口63571就可以了。
注意:我一开始用端口6000来测试,可能是因为被其他应用程序占用此端口的原因,一直连接不上去,后来换了9833端口后就可以连接上去了
(2)配置远程终端的默认连接数
开始—运行—tscc.msc—连接—右键点击rdp-tcp—属性—网卡—最多连接数,将最多连接数设置为1(若今后感染病毒而占用了全部的连接数,可用Tsmmc.msc或者是telnet的query user和logoff来强制某一终端用户自动断开)。此时可设置为“限制每个用户使用一个会话”,那么当一个用户自己断开后,另外一个用户登录后可以看到原有用户运行的东西(当然,这有好处,也有坏处)。
(3)安全选项—交互式登录:不显示上次的用户名
配置此选项,好处就不用说了,多少还是可以起到点安全效果吧。
3、本地安全设置
首先是账户策略
(1)密码策略
纯数字、纯字母的密码,无论长度多少,用一个小小的爆破工具,只要cpu的运算速度足够快,你的密码很快就可以“送”到别人的手上,当“肉鸡”的命运在所难免,所以,我们就必须设定密码策略,使其满足账户的密码复杂性要求。
密码复杂性要求为不包含全部或部分用户帐户名且长度至少为6个字符,密码由英文A~Z的26个大写字母,a~z的26个小写字母,0~9的10个数字,非字母字符(例如:!、$、#、%)4类字符中至少3类的字符构成。
(2)账户锁定策略
账户锁定阈值:一般为3次错误登录后锁定账户
复位账户锁定计数器:32分钟
账户锁定时间:32分钟
注意:复位账户锁定计数器的时间必须<小于账户锁定时间,若复位账户锁定计数器的时间是大于账户锁定时间的话,待账户锁定时间过期后,账户会发生新一轮的锁定状态(因为复位账户锁定时间尚未过期,还在锁定状态)
其次是本地策略
其中可以配置应用程序的审核策略,例如我们所运行的服务,可以尝试设置如此设置:
审核对象访问—失败,转入您所需要记录的应用程序,右键属性—安全—高级—审核—添加…设置访问用户即可
审核过程跟踪—成功……往后您所指定的程序的启动和关闭都将在事件查看器的安全性子选项中可以看得到