轻易使用超级管理员帐号登录服务器,可能会给服务器的安全带来致命的威胁;但事实上,不少服务器应用软件在设计时并没有将用户的安全性考虑在内,这不得不“迫使”用户使用超级管理员帐号登录服务器,长期以往服务器的安全性就会受到极大挑战。那么如何才能确保服务器在自动登录时,既安全可靠,又快捷方便,而且登录成功之后,我们还能安全地管理维护好服务器呢?要实现这样多重目的,还是来看看本文下面的内容吧,相信这些内容会让大家如愿以偿的!
1、自动登录中的安全保护
服务器作为保存信息的“安全重地”,常常会受到各级访问者的特别照顾,各种各样的非法连接和攻击更是直逼服务器;为了有效阻止对服务器的非法攻击和无效连接,定时对服务器进行重新启动,就能自动清除各种非法攻击和无效连接。可是一旦服务器重新启动后,系统一般不会自动进行登录的,这样的话许多存放在服务器中的应用程序,可能就无法正常自动启动,从而无法对外提供正常服务。为了能让服务器自动登录,而且还要确保服务器不能以超级管理员身份进行登录的话,我们可以按照下面的步骤,来指定一个普通帐号自动登录服务器;当然该帐号必须要拥有运行相关应用程序的基本权限,确保服务器登录成功后,一些常规的应用服务能正常开放:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入注册表编辑命令“regedit”,单击“确定”按钮后,打开注册表编辑界面;
将鼠标定位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon注册表分支,在对应Winlogon分支右边的子窗口中(如图1所示),检查一下是否有一个名为“AutoAdminLogon”的键值,要是没有找到的话,可以依次单击菜单栏中的“编辑”/“新建”/“字符串值”命令,并将新创建的字符串值名称设置为“AutoAdminLogon”,再将其数值设置为“1”;
接着在对应Winlogon分支右边的子窗口中,检查一下是否有一个名为“DefaultDomainName”的键值,倘若没有发现的话,可以依次单击菜单栏中的“编辑”/“新建”/“字符串值”命令,并将新创建的字符串值名称设置为“DefaultDomainName”,再将其数值设置为服务器的计算机名称;
下面再按照相同的办法,检查Winlogon分支右边的子窗口中是否有“DefaultUserName”键值和“DefaultPassword”键值,倘若这些字符串键值还没有创建好的话,你可以参照前面的步骤进行创建,然后将“DefaultUserName”键值的数值设置为拥有运行相关应用程序权限的普通帐号,将“DefaultPassword”键值的数值设置为对应该帐号的登录密码;完成上面的所有设置任务后,重新将服务器系统启动一下就可以达到目的了。
小提示:对于Windows 2000服务器来说,它自身不具有定时启动的功能,不过考虑到该系统服务器与Windows 2003系统或Windows XP系统的内核相同,因此我们可以采用移花接木的办法,将Windows 2003系统或Windows XP系统中的自动关机命令——shutdown.exe,直接复制到Windows 2000服务器中。具体操作步骤为:首先打开Windows 2003系统或Windows XP系统的资源管理器窗口,进入到Windows系统所在的安装目录,再展开其中的“system32”子目录,并在对应的子目录窗口中找到shutdown.exe文件,然后将其复制一份;接下来打开Windows 2000服务器的资源管理器窗口,进入到Windows系统所在的安装目录,再展开其中的“system32”子目录,然后将前面复制下来的shutdown.exe文件粘贴到这里。
紧接着依次单击“开始”/“程序”/“附件”/“系统工具”/“任务计划”命令,打开计划任务列表窗口,双击其中的“添加新任务”图标,在其后出现的向导设置窗口中,单击“下一步”按钮,打开应用程序列表界面;再单击其中的“浏览”按钮,在弹出的文件选择对话框中,将前面复制过来的shutdown.exe文件选中并导入进来,并继续单击“下一步”按钮,打开如图2所示的设置界面;在该界面中输入该任务的具体名称,例如为“定时启动服务器”,同时在“该任务的执行”处选中“每天”选项,再单击“下一步”按钮,之后你可以按照屏幕提示,完成其他的设置任务,直到单击“完成”按钮为止。
到了这里,服务器还不能自动重新启动,我们还需要返回到计划任务列表中,右击刚才创建好的“定时启动服务器”任务图标,从弹出的右键菜单中执行“属性”命令,打开如图3所示的属性设置窗口;
在该窗口的“运行”文本框中,你将看到“C:\WinNT\system32\shutdown.exe”字符串命令,此时你可以在该命令后面加上参数“ -r -f”,再单击“确定”按钮,这样才能强制服务器系统重新进行启动。[page]
2、自动登录后的安全保护
服务器一旦自动完成登录操作后,恰好服务器人员不在旁边,而系统屏幕保护还没有启动密码保护功能时,服务器此时的安全就会受到挑战,任何一名普通用户都有可能做出对服务器不利的事情来。为了尽可能地保证服务器的安全,我们应该想办法缩短屏幕保护的等待时间;要做到这一点,可以按照如下步骤来进行:
依次单击“开始”/“运行”命令,在弹出的系统运行框中,输入注册表编辑命令“regedit”,单击“确定”按钮后,打开注册表编辑界面;
将鼠标定位于HKEY_CURRENT_USER\Control Panel\desktop注册表分支,在对应desktop分支右边的子窗口中,检查一下是否有一个名为“ScreenSaveActive”的键值,要是没有找到的话,可以依次单击菜单栏中的“编辑”/“新建”/“字符串值”命令,并将新创建的字符串值名称设置为“ScreenSaveActive”,再将其数值设置为“1”,这样就能强制服务器启用屏幕保护功能了;
接着在对应desktop分支右边的子窗口中(如图4所示),检查一下是否有一个名为“ScreenSaverlsSecure”的键值,倘若没有发现的话,可以依次单击菜单栏中的“编辑”/“新建”/“字符串值”命令,并将新创建的字符串值名称设置为“ScreenSaverlsSecure”,再将其数值设置为1,这样就能强制服务器启用密码保护功能了;
同样地,检查desktop分支右边的子窗口中是否有“ScreenSaveTimeOut”键值,倘若这个字符串键值还没有创建好的话,你可以参照前面的步骤进行创建,然后将“ScreenSaveTimeOut”键值的数值设置为合适的数值就可以了。
3、管理维护时的安全保护
在用普通帐号登录进服务器后,服务器的安全的确在某种程度上得到了保证,不过在普通帐号下我们往往无法对服务器进行直接维护,毕竟对服务器的维护和管理,都需要拥有超级管理员帐号权限。如此说来,我们就无法在普通帐号下,对服务器进行维护和管理了吗?答案是否定的,我们可以通过“移形换位”的方法来实现:
所谓“移形换位”法,就是借助“Shift”功能键将普通帐号临时“换位”成超级管理员角色,来对服务器进行随心所欲地管理和维护,完成维护任务后,再恢复到“换位”前的角色。在使用该方法时,首先需要在服务器自动登录操作完毕后,找到服务器中需要进行维护或管理的某应用程序,接着将“Shift”功能键按下,并用鼠标右击目标应用程序,选中快捷菜单中的“运行方式”命令;
在打开的如图5所示的“运行身份”设置框中,选中“下列用户”选项,同时输入超级管理员的密码和帐号,并单击一下“确定”按钮,这样的话目标服务器应用程序就能以超级管理员“角色”来自动运行了。
为了能以超级管理员“角色”对服务器进行更全面的维护和管理,你不妨按照前面的操作办法,运行服务器中的IE程序;接着在IE浏览器窗口中,依次单击“查看”菜单项下面的“浏览器栏”、“文件夹”选项,在其后打开的文件夹树目录界面中,你就可以以超级管理员“角色”,对服务器中的各种操作进行管理了。比方说,直接以超级管理员身份运行应用程序,直接移 动任何一个文件夹,或者对文件夹进行删除、复制等,也可以随意添加或删除新硬件,还能随心所欲地设置服务器虚拟内存等。对服务器完成好各项管理操作后,只要你将IE浏览器窗口关闭掉,就能将帐号状态恢复到“换位”前的角色,如此一来服务器在普通帐号下的安全威胁就小多了。
1748
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
