9.注冊表讓服務(wù)器遠程訪問更安全
2008-06-03 瀏覽:10226次
為了更高效地管理好服務(wù)器,不少系統(tǒng)管理員都開通了遠程訪問功能,這樣的話許多管理維護操作就不需要到服務(wù)器現(xiàn)場進行了??墒?,一旦開通了遠程訪問功能,那么服務(wù)器的安全就可能會受到一定的影響;為此,本文下面通過修改注冊表的方法,來確保服務(wù)器遠程訪問更安全:
1、拒絕創(chuàng)建新的局域網(wǎng)連接
大家知道,如果允許非法用戶在自己的windows 2000服務(wù)器中,隨意創(chuàng)建新的局域網(wǎng)連接的話,那么本地服務(wù)器的安全將受到威脅,因為非法用戶就能通過自己創(chuàng)建的局域網(wǎng)連接“通道”,來對本地服務(wù)器進行遠程非法攻擊了。為此,你可以通過下面的方法,來阻止普通帳號下的用戶,隨意在本地服務(wù)器中創(chuàng)建新的局域網(wǎng)連接組件,從而實現(xiàn)拒絕創(chuàng)建新的遠程連接通道的目的:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支hkey_current_user\software\policies\microsoft\windows\network connections上
在對應(yīng)network connections注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區(qū)域,從彈出的快捷菜單中依次執(zhí)行“新建”/“雙字節(jié)值”命令,并將新創(chuàng)建的雙字節(jié)值名稱設(shè)置為“nc_addremovecomponents”,再用鼠標雙擊“nc_addremovecomponents”項目,在彈出的數(shù)值設(shè)置窗口中,輸入“0”,再單擊“確定”按鈕,最后按下f5功能鍵來刷新一下系統(tǒng)注冊表,這樣就能使上述設(shè)置生效了。
為了防止非法用戶隨意修改已經(jīng)創(chuàng)建好的局域網(wǎng)連接組件的屬性,導(dǎo)致已經(jīng)創(chuàng)建好的局域網(wǎng)連接組件不能使用,你可以在對應(yīng)network connections注冊表分支的右邊子窗口中,再分別創(chuàng)建一個名為“nc_lanchangeproperties”、“nc_raschangeproperties”的雙字節(jié)值,并將它們的數(shù)值都設(shè)置為“0”,最后單擊“確定”按鈕,并刷新一下系統(tǒng)注冊表。
2、拒絕新用戶與服務(wù)器連接
也許你的windows xp終端服務(wù)器允許多個客戶同時與之遠程保持連接,可是在實際連接的過程中,有時為了保證每個遠程連接的傳輸速度都很快捷,你需要在服務(wù)器保持活動狀態(tài)的前提下,阻止其他的新用戶繼續(xù)與服務(wù)器保持連接,要實現(xiàn)這樣的目的,你可以按照如下步驟來進行操作:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支hkey_local_machine\software\policies\microsoft\windows nt\terminal services上
在對應(yīng)terminal services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區(qū)域,從彈出的快捷菜單中依次執(zhí)行“新建”/“dword值”命令,并將新創(chuàng)建的雙字節(jié)值名稱設(shè)置為“fdenytsconnetions”,再用鼠標雙擊“fdenytsconnetions”項目,在彈出的數(shù)值設(shè)置窗口中,輸入“1”,再單擊“確定”按鈕,那么系統(tǒng)的終端服務(wù)器就能在不斷開已有連接的前提下,拒絕新的用戶與服務(wù)器進行連接了,要是你將“fdenytsconnetions”項目的數(shù)值設(shè)置為“0”,那么系統(tǒng)的終端服務(wù)器就能允許多個新的用戶與之連接了。
3、阻止用戶維持多個遠程會話
windows xp系統(tǒng)的終端服務(wù)器在缺省狀態(tài)下,可以允許每一個遠程連接用戶同時保持多個遠程會話,并為每一個遠程會話維持任意長的時間;不過這樣一來,系統(tǒng)的終端服務(wù)器運行效率就會受到影響。為此,你可以通過下面的方法,來阻止用戶維持多個遠程會話,確保每一個遠程連接用戶只能在終端服務(wù)器保持一個遠程會話:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支hkey_local_machine\software\policies\microsoft\windows nt\terminal services上;
在對應(yīng)terminal services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區(qū)域,從彈出的快捷菜單中依次執(zhí)行“新建”/“dword值”命令,并將新創(chuàng)建的雙字節(jié)值名稱設(shè)置為“fsinglesessionperuser”,再用鼠標雙擊“fsinglesessionperuser”項目,在彈出的數(shù)值設(shè)置窗口中,輸入“1”,再單擊“確定”按鈕,那么系統(tǒng)的終端服務(wù)器日后就會對遠程連接用戶的會話數(shù)目進行限制,確保每一個用戶只能保持一個會話。
如果你將“fsinglesessionperuser”項目的數(shù)值設(shè)置為“0”的話,那么系統(tǒng)的終端服務(wù)器就會對遠程連接用戶的會話數(shù)目不進行任何限制。
4、拒絕遠程訪問共享端口
大家知道windows 2000服務(wù)器中的并行端口、串行端口等設(shè)備,通常都安裝有類似網(wǎng)絡(luò)打印機之類的共享設(shè)備,在默認狀態(tài)下,服務(wù)器允許任意用戶遠程訪問這些共享端口。不過為了保證服務(wù)器的安全,你最好還是禁止普通用戶遠程訪問它們,以防止非法用戶通過它們攻擊服務(wù)器;下面就是拒絕普通帳號下的用戶,遠程訪問共享端口的具體操作:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支hkey_local_machine\system\currentcontrolset\control\session manager上;
在對應(yīng)session manager注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區(qū)域,從彈出的快捷菜單中依次執(zhí)行“新建”/“雙字節(jié)值”命令,并將新創(chuàng)建的雙字節(jié)值名稱設(shè)置為“protectionmode”,如圖4所示,再用鼠標雙擊“protectionmode”項目,在彈出的數(shù)值設(shè)置窗口中,輸入“1”,再單擊“確定”按鈕,并將服務(wù)器系統(tǒng)重新啟動一下,如此一來服務(wù)器就只能允許系統(tǒng)管理員來訪問和管理這些共享端口了。
5、阻止遠程刪除桌面墻紙
如果你不希望非法用戶隨意將遠程桌面中的墻紙強行刪除的話,那么你只要按照如下步驟來操作就可以了:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕后,打開系統(tǒng)的注冊表編輯界面,將鼠標定位于注冊表分支hkey_local_machine\software\policies\microsoft\windows nt\terminal services上;
在對應(yīng)terminal services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區(qū)域,從彈出的快捷菜單中依次執(zhí)行“新建”/“dword值”命令,并將新創(chuàng)建的雙字節(jié)值名稱設(shè)置為“fnoremotedesktopwallpaper”,再用鼠標雙擊“fnoremotedesktopwallpaper”項目,在彈出的數(shù)值設(shè)置窗口中,輸入“0”,再單擊“確定”按鈕,并刷新一下系統(tǒng)注冊表就可以了。值得注意的是,該方法僅在windows xp服務(wù)器系統(tǒng)中有效。
6、拒絕遠程安裝打印驅(qū)動
在缺省狀態(tài)下,windows 2000服務(wù)器系統(tǒng)允許普通帳號下的用戶,通過遠程方式在服務(wù)器中安裝打印驅(qū)動程序,如此一來這些用戶就能在服務(wù)器中隨意安裝新的網(wǎng)絡(luò)打印機了。不過這樣的話,服務(wù)器的安全可能就會受到威脅,例如非法用戶拼命向網(wǎng)絡(luò)打印機發(fā)送垃圾任務(wù)的話,就能導(dǎo)致服務(wù)器系統(tǒng)運行性能下降,甚至能造成服務(wù)器出現(xiàn)死機現(xiàn)象。為了避免普通帳號下的用戶,隨意通過遠程方式在本地服務(wù)器中安裝打印驅(qū)動,你可以按照如下設(shè)置,來拒絕遠程安裝打印驅(qū)動:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支hkey_local_machine\system\currentcontrolset\control\print\providers\lanman print services上,如圖6所示;
右擊“l(fā)anman print services”注冊表分支,從打開的快捷菜單中依次單擊“新建”/“雙字節(jié)值”命令,并將它的名稱輸入為“addprintdrivers”,再將“addprintdrivers”雙字節(jié)值的數(shù)值設(shè)置為“1”,最后刷新一下系統(tǒng)注冊表,這樣的話服務(wù)器系統(tǒng)日后就只允許系統(tǒng)管理員以及管理員組中的用戶,可以進行遠程安裝打印驅(qū)動了。
7、對遠程連接數(shù)量進行限制
為了保證windows xp終端服務(wù)器始終處于高效運行狀態(tài),你應(yīng)該想辦法對服務(wù)器在同一時間內(nèi)建立的遠程連接數(shù)量進行適當(dāng)限制,這樣終端服務(wù)器的性能就會得到穩(wěn)定。在對windows xp終端服務(wù)器的遠程連接數(shù)量進行限制時,你可以按照如下步驟來限制:
依次單擊“開始”/“運行”命令,在打開的系統(tǒng)運行對話框中,輸入注冊表編輯命令“regedit”,單擊“確定”按鈕后,打開系統(tǒng)的注冊表編輯界面,將鼠標定位于注冊表分支hkey_local_machine\software\policies\microsoft\windows nt\terminal services上;
在對應(yīng)terminal services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區(qū)域,從彈出的快捷菜單中依次執(zhí)行“新建”/“dword值”命令,并將新創(chuàng)建的雙字節(jié)值名稱設(shè)置為“maxinstancecount”,再用鼠標雙擊“maxinstancecount”項目,在彈出的數(shù)值設(shè)置窗口中,輸入合適的連接數(shù)量,例如允許10個用戶同時與服務(wù)器遠程連接的話,你就可以在這里輸入“10”(如圖5所示),再單擊“確定”按鈕就可以了。正常情況下,“maxinstancecount”項目的數(shù)值范圍在“1~999999”之間,如果你希望windows xp終端服務(wù)器對遠程連接數(shù)量不進行限制的話,那么你可以將它的數(shù)值設(shè)置為“999999”。