注冊表讓服務器遠程訪問更安全

2024-07-26 00:28:54

字體：大中小

來源：轉載

供稿：網友

　　文/逢逢

　　為了更高效地管理好服務器，不少系統管理員都開通了遠程訪問功能，這樣的話許多管理維護操作就不需要到服務器現場進行了。可是，一旦開通了遠程訪問功能，那么服務器的安全就可能會受到一定的影響；為此，本文下面通過修改注冊表的方法，來確保服務器遠程訪問更安全：

　　1、拒絕創建新的局域網連接

　　大家知道，如果允許非法用戶在自己的Windows 2000服務器中，隨意創建新的局域網連接的話，那么本地服務器的安全將受到威脅，因為非法用戶就能通過自己創建的局域網連接“通道”，來對本地服務器進行遠程非法攻擊了。為此，你可以通過下面的方法，來阻止普通帳號下的用戶，隨意在本地服務器中創建新的局域網連接組件，從而實現拒絕創建新的遠程連接通道的目的：

　　依次單擊“開始”/“運行”命令，在打開的系統運行對話框中，輸入注冊表編輯命令“Regedit”，單擊“確定”按鈕之后，在隨后彈出的注冊表編輯窗口中，將鼠標定位于注冊表分支HKEY_CURRENT_USER/Software/Policies/Microsoft/Windows/Network Connections上，如圖1所示；

圖1

　　在對應Network Connections注冊表分支的右邊子窗口中，用鼠標右鍵單擊空白區域，從彈出的快捷菜單中依次執行“新建”/“雙字節值”命令，并將新創建的雙字節值名稱設置為“NC_AddRemoveComponents”，再用鼠標雙擊“NC_AddRemoveComponents”項目，在彈出的數值設置窗口中，輸入“0”，再單擊“確定”按鈕，最后按下F5功能鍵來刷新一下系統注冊表，這樣就能使上述設置生效了。

　　為了防止非法用戶隨意修改已經創建好的局域網連接組件的屬性，導致已經創建好的局域網連接組件不能使用，你可以在對應Network Connections注冊表分支的右邊子窗口中，再分別創建一個名為“NC_LanChangePRoperties”、“NC_RasChangeProperties”的雙字節值，并將它們的數值都設置為“0”，最后單擊“確定”按鈕，并刷新一下系統注冊表。

　　2、拒絕新用戶與服務器連接

　　也許你的Windows xp終端服務器允許多個客戶同時與之遠程保持連接，可是在實際連接的過程中，有時為了保證每個遠程連接的傳輸速度都很快捷，你需要在服務器保持活動狀態的前提下，阻止其他的新用戶繼續與服務器保持連接，要實現這樣的目的，你可以按照如下步驟來進行操作：

　　依次單擊“開始”/“運行”命令，在打開的系統運行對話框中，輸入注冊表編輯命令“Regedit”，單擊“確定”按鈕之后，在隨后彈出的注冊表編輯窗口中，將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows NT/Terminal Services上，如圖2所示；

圖2

　　在對應Terminal Services注冊表分支的右邊子窗口中，用鼠標右鍵單擊空白區域，從彈出的快捷菜單中依次執行“新建”/“DWord值”命令，并將新創建的雙字節值名稱設置為“fDenyTSConnetions”，再用鼠標雙擊“fDenyTSConnetions”項目，在彈出的數值設置窗口中，輸入“1”，再單擊“確定”按鈕，那么系統的終端服務器就能在不斷開已有連接的前提下，拒絕新的用戶與服務器進行連接了，要是你將“fDenyTSConnetions”項目的數值設置為“0”，那么系統的終端服務器就能允許多個新的用戶與之連接了。

　　3、阻止用戶維持多個遠程會話

　　Windows XP系統的終端服務器在缺省狀態下，可以允許每一個遠程連接用戶同時保持多個遠程會話，并為每一個遠程會話維持任意長的時間；不過這樣一來，系統的終端服務器運行效率就會受到影響。為此，你可以通過下面的方法，來阻止用戶維持多個遠程會話，確保每一個遠程連接用戶只能在終端服務器保持一個遠程會話：

　　在對應Terminal Services注冊表分支的右邊子窗口中，用鼠標右鍵單擊空白區域，從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令，并將新創建的雙字節值名稱設置為“fSinglesessionPerUser”，再用鼠標雙擊“fSingleSessionPerUser”項目，在彈出的數值設置窗口中，輸入“1”（如圖3所示），再單擊“確定”按鈕，那么系統的終端服務器日后就會對遠程連接用戶的會話數目進行限制，確保每一個用戶只能保持一個會話。

圖3

　　如果你將“fSingleSessionPerUser”項目的數值設置為“0”的話，那么系統的終端服務器就會對遠程連接用戶的會話數目不進行任何限制。

　　4、拒絕遠程訪問共享端口

　　大家知道Windows 2000服務器中的并行端口、串行端口等設備，通常都安裝有類似網絡打印機之類的共享設備，在默認狀態下，服務器允許任意用戶遠程訪問這些共享端口。不過為了保證服務器的安全，你最好還是禁止普通用戶遠程訪問它們，以防止非法用戶通過它們攻擊服務器；下面就是拒絕普通帳號下的用戶，遠程訪問共享端口的具體操作：

　　依次單擊“開始”/“運行”命令，在打開的系統運行對話框中，輸入注冊表編輯命令“Regedit”，單擊“確定”按鈕之后，在隨后彈出的注冊表編輯窗口中，將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE/System/currentControlSet/Control/Session Manager上；

　　在對應Session Manager注冊表分支的右邊子窗口中，用鼠標右鍵單擊空白區域，從彈出的快捷菜單中依次執行“新建”/“雙字節值”命令，并將新創建的雙字節值名稱設置為“ProtectionMode”，如圖4所示，再用鼠標雙擊“ProtectionMode”項目，在彈出的數值設置窗口中，輸入“1”，再單擊“確定”按鈕，并將服務器系統重新啟動一下，如此一來服務器就只能允許系統管理員來訪問和管理這些共享端口了。　　

　　5、阻止遠程刪除桌面墻紙

　　如果你不希望非法用戶隨意將遠程桌面中的墻紙強行刪除的話，那么你只要按照如下步驟來操作就可以了：

　　依次單擊“開始”/“運行”命令，在打開的系統運行對話框中，輸入注冊表編輯命令“Regedit”，單擊“確定”按鈕后，打開系統的注冊表編輯界面，將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE/SOFTWARE/Policies/Microsoft/Windows NT/Terminal Services上；

　　在對應Terminal Services注冊表分支的右邊子窗口中，用鼠標右鍵單擊空白區域，從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令，并將新創建的雙字節值名稱設置為“fNoRemoteDesktopWallpaper”，再用鼠標雙擊“fNoRemoteDesktopWallpaper”項目，在彈出的數值設置窗口中，輸入“0”（如圖4所示），再單擊“確定”按鈕，并刷新一下系統注冊表就可以了。值得注意的是，該方法僅在Windows XP服務器系統中有效。

圖4

　　6、拒絕遠程安裝打印驅動

　　在缺省狀態下，Windows 2000服務器系統允許普通帳號下的用戶，通過遠程方式在服務器中安裝打印驅動程序，如此一來這些用戶就能在服務器中隨意安裝新的網絡打印機了。不過這樣的話，服務器的安全可能就會受到威脅，例如非法用戶拼命向網絡打印機發送垃圾任務的話，就能導致服務器系統運行性能下降，甚至能造成服務器出現死機現象。為了避免普通帳號下的用戶，隨意通過遠程方式在本地服務器中安裝打印驅動，你可以按照如下設置，來拒絕遠程安裝打印驅動：

　　依次單擊“開始”/“運行”命令，在打開的系統運行對話框中，輸入注冊表編輯命令“Regedit”，單擊“確定”按鈕之后，在隨后彈出的注冊表編輯窗口中，將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Print/Providers/LanMan Print Services上，如圖6所示；

　　右擊“LanMan Print Services”注冊表分支，從打開的快捷菜單中依次單擊“新建”/“雙字節值”命令，并將它的名稱輸入為“AddPrintDrivers”，再將“AddPrintDrivers”雙字節值的數值設置為“1”，最后刷新一下系統注冊表，這樣的話服務器系統日后就只允許系統管理員以及管理員組中的用戶，可以進行遠程安裝打印驅動了。

　　7、對遠程連接數量進行限制

　　為了保證Windows XP終端服務器始終處于高效運行狀態，你應該想辦法對服務器在同一時間內建立的遠程連接數量進行適當限制，這樣終端服務器的性能就會得到穩定。在對Windows XP終端服務器的遠程連接數量進行限制時，你可以按照如下步驟來限制：

　　在對應Terminal Services注冊表分支的右邊子窗口中，用鼠標右鍵單擊空白區域，從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令，并將新創建的雙字節值名稱設置為“MaxInstanceCount”，再用鼠標雙擊“MaxInstanceCount”項目，在彈出的數值設置窗口中，輸入合適的連接數量，例如允許10個用戶同時與服務器遠程連接的話，你就可以在這里輸入“10”（如圖5所示），再單擊“確定”按鈕就可以了。正常情況下，“MaxInstanceCount”項目的數值范圍在“1~999999”之間，如果你希望Windows XP終端服務器對遠程連接數量不進行限制的話，那么你可以將它的數值設置為“999999”。

圖5

　　8、阻止遠程訪問系統日志

　　由于Windows 2000服務器中的系統日志文件，保存有所有用戶訪問服務器時的安全信息和操作記錄信息，任何黑客企圖攻擊服務器的痕跡都能從找分析查找到。可是在缺省狀態下，系統的日志文件允許被匿名帳號或Guest帳號遠程查看到，這么一來黑客就可能遠程“抹除”它們在日志中留下的攻擊痕跡，從而導致系統管理員無法及時發現系統安全隱患。為此，你可以通過下面的辦法，來阻止普通帳號下的用戶來遠程訪問系統日志：

　　依次單擊“開始”/“運行”命令，在打開的系統運行對話框中，輸入注冊表編輯命令“Regedit”，單擊“確定”按鈕后，打開系統的注冊表編輯界面，將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog/application上，如圖6所示；

圖6

　　接著再依次單擊菜單欄中的“編輯”/“新建”/“雙字節值”命令，在Application分支下面創建一個名為“RestrictGuestaccess”的雙字節值，并將其數值輸入為“1”，最后單擊“確定”按鈕，這樣服務器就能拒絕普通帳號遠程訪問服務器中的應用日志了；

　　如果要想拒絕普通帳號遠程訪問服務器中的系統日志的話，那么你還需要在注冊表分支HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog/System下，創建好“RestrictGuestAccess”雙字節值，同時將其數值也輸入為“1”；如果要想拒絕普通帳號遠程訪問服務器中的安全日志的話，那么你還需要在注冊表分支HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/EventLog/Security下，創建好“RestrictGuestAccess”雙字節值，再將它的數值也輸入為“1”，最后刷新一下系統注冊表就可以了。

　　9、阻止遠程訪問緩存密碼

　　Windows 2003服務器系統在缺省狀態下，會自動將系統管理員輸入的各種密碼信息，暫時保存到系統緩存中，而許多黑客或非法攻擊者一旦將目光瞄準到服務器中的指定緩存上時，那么服務器緩存中的各種密碼信息就能被黑客輕易遠程獲取到。為了保證Windows 2003服務器系統中的密碼信息，不被遠程非法盜取，你可以按照下面的操作，來阻止黑客遠程訪問緩存密碼：

　　首先打開系統運行框，在其中執行注冊表編輯命令“Regedit”，再將鼠標定位在注冊表分支HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/policies上，如圖7所示；

圖7

　　接著單擊菜單欄中的“編輯”/“新建”/“項”命令，在policies分支下創建一個Network子項，并將該子項選中，再單擊菜單欄中的“編輯”/“新建”/“DWORD”命令，在對應Network子項右邊的區域中，創建一個“DisablePasswordCaching”雙字節值，然后將它的數值輸入為“0x00000001”，最后重新啟動一下計算機系統，這樣Windows 2003服務器就不會自動記憶密碼了，那么黑客也就無法遠程訪問到緩存密碼了。

　　10、阻止遠程獲得共享權限

　　由于Windows服務器在默認狀態下，都會自動把本地服務器的磁盤分區設置為隱藏共享，這么一來非法用戶就有可能通過專業攻擊方法，來獲得這些隱藏共享資源的完全控制權限，從而給服務器帶來安全威脅；為此，你可以按照下面方法，讓服務器自動取消隱藏共享，這樣非法用戶就無法遠程獲得共享資源的完全控制權限：

　　首先打開注冊表編輯窗口，將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/
Services/LanmanServer/Parameters上，如圖8所示；

圖8