如何設(shè)置本地安全策略?
問題一:本地安全策略怎么添加 win10在本地策略安全添加策略選項的方法:材料/工具
創(chuàng)新互聯(lián)建站堅持“要么做到,要么別承諾”的工作理念�����,服務(wù)領(lǐng)域包括:成都網(wǎng)站設(shè)計����、網(wǎng)站建設(shè)��、企業(yè)官網(wǎng)���、英文網(wǎng)站、手機端網(wǎng)站�、網(wǎng)站推廣等服務(wù),滿足客戶于互聯(lián)網(wǎng)時代的平?jīng)鼍W(wǎng)站設(shè)計�����、移動媒體設(shè)計的需求�����,幫助企業(yè)找到有效的互聯(lián)網(wǎng)解決方案�。努力成為您成熟可靠的網(wǎng)絡(luò)建設(shè)合作伙伴!
win10系統(tǒng)電腦
方法/步驟
①右鍵點擊開始���,打開控制面板。如圖:
②在大圖標(biāo)狀態(tài)下��,找到”管理工具“���,點開��。如圖:
③在管理工具界面���,在右側(cè)窗口雙擊“本地安全策略”�,就會進入“本地安全策略”界面���。(如果提示沒有權(quán)限��,右鍵管理員身份運行就可以打開了)如圖:
④左側(cè)點擊“本地策略”--“安全選項”��,右側(cè)找到“賬戶管理員賬戶狀態(tài)“雙擊�����。如圖:
⑤在彈出對話框里”已啟用“前面選擇上�,���,點擊”應(yīng)用“即可��。如圖:
問題二:我電腦里沒有本地安全策略 誰知道怎么安裝 可以這樣1:開始--運行--MMC--文件--添加刪除管理單元--添加--組策略--添加�����,后面的你應(yīng)該會了��?���?茨阋_哪個策略,就添加哪個策略.
2:看是不是注冊表中鎖住了組策略“HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer”���,把“RestrictRun”的鍵值改為0即可��。
問題三:如何配置Windows服務(wù)器本地安全策略 默認(rèn)情況下���,Windows無法正常訪問Samba服務(wù)器上的共享文件夾。原因在于從Vista開始���,微軟默認(rèn)只采用NTLMv2協(xié)議的認(rèn)證回應(yīng)消息了�,而目前的Samba還只支持LM或者NTLM��。
解決辦法:修改本地安全策略��。
1����、通過Samba服務(wù)可以實現(xiàn)UNIX/Linux主機與Windows主機之間的資源互訪,由于實驗需要���,輕車熟路的在linux下配置了samba服務(wù)��,操作系統(tǒng)是red
hat linux 9.0�����,但是在windows7下訪問的時候問題就出現(xiàn)了���,能夠連接到服務(wù)器,但是輸入密碼的時候卻給出如圖一的提示:
2�、在linux下的 *** b.conf配置文件里面的配置完全沒有錯誤,之前安裝Windows XP的時候訪問也完全正常�����,仔細查看配置還是正常�,如果變動配置文件里面的工作組或者允許IP地址Windows7會出現(xiàn)連接不上的情況,不會出現(xiàn)提示輸入用戶名和密碼�。
3、這種情況看來是windows
7的問題��,解決的辦法是:單擊”開始“-“運行”���,輸入secpol.msc����,打開“本地安全策略”,在本地安全策略窗口中依次打開“本地策略”--“安全選項”�����,然后再右側(cè)的列表中找到“網(wǎng)絡(luò)安全:LAN
管理器身份驗證級別”����,把這個選項的值改為“發(fā)送 LM 和 NTLM 如果已協(xié)商,則使用 NTLMv2
會話安全”��,最后確定���。如圖二�。
到這里再連接samba服務(wù)器�����,輸入密碼就可以正常訪問samba服務(wù)器了��。
問題四:本地安全設(shè)置怎么打開 本地安全策略文件在什么地方 電腦維修技術(shù)網(wǎng) 在桌面的左下角點擊開始��,然后找到設(shè)置下面的控制面板并單擊打開控制面板��。個別電腦的開始菜單可能不一樣���。具體找一下��,都是有控制面板的���。
打開控制面板之后,然后在控制面板窗口中找到“管理工具”此項�����,并雙擊打開管理工具���。
打開管理工具之后�,找到本地安全策略�,并雙擊打開就如出現(xiàn)“本地安全設(shè)置”程序。
運行“secpol.msc”命令即可直接打開本地安全設(shè)置
除了第一種方法之外�,一些熟悉電腦的網(wǎng)友或者網(wǎng)管一般都喜歡直接開始運行secpol.msc命令直接打開。有時控制面板沒有管理工具時就會使用此方法���。
問題五:用什么命令可以進入本地安全策略 在啟動的過程中不停地按下F8功能鍵 直到出現(xiàn)系統(tǒng)的啟動菜單 選擇“帶命令行提示的安全模式” 將服務(wù)器系統(tǒng)切換到命令行提示符狀 接下來在命令提示符下直接執(zhí)行mmc.exe字符串命令 在彈出的系統(tǒng)控制臺界面中��,單擊“文件”菜單項 并從彈出的下拉菜單中單擊“添加/刪除管理單元”選項 再單擊其后窗口中的“獨立”標(biāo)簽�,然后單擊“添加”按鈕 再依次點“組策略”-“添加”-“完成”-“關(guān)閉”-“確定” 這樣就能成功添加一個新的組策略控制臺 以后,你就能重新打開組策略編輯窗口
問題六:本地安全策略在哪里找 開始-設(shè)置-控制面板-管理工具-本地安全策略(XP或者windows2003)
WIN7.單擊“控制面板”--“系統(tǒng)和安全”--“管理工具”--“本地安全策略”���,會進入“本地安全策略”界面
Win7和xp都是:開始--搜索“運行”--secpol.msc�,同樣打開“本地安全策略”
win7的運行就是點開始的最下面那就是運行直接輸入即可
問題七:如何恢復(fù)默認(rèn)的本地安全策略 1:secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose
用這個命令可以將本地安全恢復(fù)默認(rèn)
2:擴展相關(guān)�����,Windows 7系統(tǒng)自帶的是一個統(tǒng)安全管理工具--本地安全策略��,它可以使系統(tǒng)更安全����。
啟動本地安全策略:
1.單擊“控制面板”--“系統(tǒng)和安全”--“管理工具”--“本地安全策略”,會進入“本地安全策略”界面��。
2.開始--搜索“運行”--secpol.msc�����,同樣打開“本地安全策略”����。
3.win+R--secpol.msc����,也可以��。
問題八:如何利用本地安全策略做安全選項設(shè)置 單擊“控制面板→管理工具→本地安全策略”后����,會進入“本地安全策略”的主界面�。在此可通過菜單欄上的命令設(shè)置各種安全策略,并可選擇查看方式�����,導(dǎo)出列表及導(dǎo)入策略等操作����。
問題九:在管理工具--本地安全策略選項如何設(shè)置才安全呢? 單擊控制面板管理工具本地安全策略后,會進入本地安全策略的主界面�。在此可通過菜單欄上的命令設(shè)置各種安全策略,并可選擇查看方式��,導(dǎo)出列表及導(dǎo)入策略等操作�。
一、加固系統(tǒng)賬戶
1.禁止枚舉賬號
我們知道���,某些具有黑客行為的蠕蟲病毒���,可以通過掃描Windows 2000/XP系統(tǒng)的指定端口����,然后通過共享會話猜測管理員系統(tǒng)口令����。因此,我們需要通過在本地安全策略中設(shè)置禁止枚舉賬號����,從而抵御此類入侵行為,操作步盯如下:
在本地安全策略左側(cè)列表的安全設(shè)置目錄樹中����,逐層展開本地策略安全選項。查看右側(cè)的相關(guān)策略列表���,在此找到網(wǎng)絡(luò)訪問:不允許SAM賬戶和共享的匿名枚舉����,用鼠標(biāo)右鍵單擊,在彈出菜單中選擇屬性����,而后會彈出一個對話框,在此激活已啟用選項�,最后點擊應(yīng)用按鈕使設(shè)置生效。
2.賬戶管理
為了防止入侵者利用漏洞登錄機器��,我們要在此設(shè)置重命名系統(tǒng)管理員賬戶名稱及禁用來賓賬戶����。設(shè)置方法為:在本地策略安全選項分支中�,找到賬戶:來賓賬戶狀態(tài)策略,點右鍵彈出菜單中選擇屬性�,而后在彈出的屬性對話框中設(shè)置其狀態(tài)為已停用,最后確定退出�����。
二�����、加強密碼安全
在安全設(shè)置中�����,先定位于賬戶策略密碼策略,在其右側(cè)設(shè)置視圖中��,可酌情進行相應(yīng)的設(shè)置�,以使我們的系統(tǒng)密碼相對安全,不易破解����。如防破解的一個重要手段就是定期更新密碼,大家可據(jù)此進行如下設(shè)置:鼠標(biāo)右鍵單擊密碼最長存留期����,在彈出菜單中選擇屬性,在彈出的對話框中���,大家可自定義一個密碼設(shè)置后能夠使用的時間長短(限定于1至999之間)����。
此外��,通過本地安全設(shè)置�,還可以進行通過設(shè)置審核對象訪問,跟蹤用于訪問文件或其他對象的用戶賬戶��、登錄嘗試、系統(tǒng)關(guān)閉或重新啟動以及類似的事件�����。諸如此類的安全設(shè)置����,不一而足。大家在實際應(yīng)用中會逐漸發(fā)覺本地安全設(shè)置的確是一個不可或缺的系統(tǒng)安全工具
問題十:怎樣設(shè)置win7的本地安全策略來防止黑客攻擊 1�����、點擊“開始”�,在搜索框中輸入“本地安全策略”,點擊“本地安全策略”���,就可以打開了。如圖1所示
2�����、打開“本地安全策略”界面��,點擊“本地策略”――“安全選項”��,找到“網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑”和“網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑”這兩個選項。如圖2所示
3��、雙擊打開“網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑”��,刪除“注冊表路徑”�����,點擊“確定”����。如圖3所示
4、雙擊打開“網(wǎng)絡(luò)訪問:可遠程訪問的注冊表路徑和子路徑”��,刪除“注冊表路徑”�,點擊“確定”。如圖4所示
怎么設(shè)置IP安全策略����,只允許特定IP訪問服務(wù)器
1、首先我們選擇鼠標(biāo)單擊打開服務(wù)器中的安全策略功能選項�����。
2���、設(shè)定舉例��,這里選擇設(shè)定限制一個IP范圍����。
3、首先創(chuàng)建兩個網(wǎng)段規(guī)則����,右鍵單擊空白區(qū)域。
4��、選擇鼠標(biāo)單擊新IP篩選器的功能選項�。創(chuàng)建IP地址范圍。
5����、設(shè)置兩個網(wǎng)段后,設(shè)置兩個策略��,一個用于權(quán)限��,一個用于阻止�。
Windows 服務(wù)器安全設(shè)置的方法教程
阿江的Windows 2000服務(wù)器安全設(shè)置教程
前言
其實�,在服務(wù)器的安全設(shè)置方面��,我雖然有一些經(jīng)驗�,但是還談不上有研究�����,所以我寫這篇文章的時候心里很不踏實����,總害怕說錯了會誤了別人的事。
本文更側(cè)重于防止ASP漏洞攻擊����,所以服務(wù)器防黑等方面的講解可能略嫌少了點。
基本的服務(wù)器安全設(shè)置
安裝補丁
安裝好操作系統(tǒng)之后��,最好能在托管之前就完成補丁的安裝�,配置好網(wǎng)絡(luò)后,如果是2000則確定安裝上了SP4�,如果是2003,則最好安裝上SP1�����,然后點擊開始→Windows Update��,安裝所有的關(guān)鍵更新。
安裝殺毒軟件
雖然殺毒軟件有時候不能解決問題���,但是殺毒軟件避免了很多問題����。我一直在用諾頓2004����,據(jù)說2005可以殺木馬,不過我沒試過�。還有人用瑞星,瑞星是確定可以殺木馬的�����。更多的人說卡巴司機好�,不過我沒用過。
不要指望殺毒軟件殺掉所有的木馬���,因為ASP木馬的特征是可以通過一定手段來避開殺毒軟件的查殺�����。
設(shè)置端口保護和防火墻���、刪除默認(rèn)共享
都是服務(wù)器防黑的措施,即使你的服務(wù)器上沒有IIS��,這些安全措施都最好做上���。這是阿江的盲區(qū)�,大概知道屏蔽端口用本地安全策略�,不過這方面的東西網(wǎng)上攻略很多,大家可以擻出來看看��,晚些時候我或者會復(fù)制一些到我的網(wǎng)站上�。
權(quán)限設(shè)置
阿江感覺這是防止ASP漏洞攻擊的關(guān)鍵所在,優(yōu)秀的權(quán)限設(shè)置可以將危害減少在一個IIS站點甚至一個虛擬目錄里�����。我這里講一下原理和設(shè)置思路�����,聰明的朋友應(yīng)該看完這個就能解決問題了�。
權(quán)限設(shè)置的原理
WINDOWS用戶,在WINNT系統(tǒng)中大多數(shù)時候把權(quán)限按用戶(組)來劃分����。在【開始→程序→管理工具→計算機管理→本地用戶和組】管理系統(tǒng)用戶和用戶組����。
NTFS權(quán)限設(shè)置�����,請記住分區(qū)的時候把所有的硬盤都分為NTFS分區(qū)��,然后我們可以確定每個分區(qū)對每個用戶開放的權(quán)限����。【文件(夾)上右鍵→屬性→安全】在這里管理NTFS文件(夾)權(quán)限��。
IIS匿名用戶�,每個IIS站點或者虛擬目錄,都可以設(shè)置一個匿名訪問用戶(現(xiàn)在暫且把它叫“IIS匿名用戶)����,當(dāng)用戶訪問你的網(wǎng)站的.ASP文件的時候,這個.ASP文件所具有的權(quán)限���,就是這個“IIS匿名用戶所具有的權(quán)限����。
權(quán)限設(shè)置的思路
要為每個獨立的要保護的個體(比如一個網(wǎng)站或者一個虛擬目錄)創(chuàng)建一個系統(tǒng)用戶�,讓這個站點在系統(tǒng)中具有惟一的可以設(shè)置權(quán)限的身份。
在IIS的【站點屬性或者虛擬目錄屬性→目錄安全性→匿名訪問和驗證控制→編輯→匿名訪問→編輯】填寫剛剛創(chuàng)建的那個用戶名���。
設(shè)置所有的分區(qū)禁止這個用戶訪問��,而剛才這個站點的主目錄對應(yīng)的那個文件夾設(shè)置允許這個用戶訪問(要去掉繼承父權(quán)限�,并且要加上超管組和SYSTEM組)���。
這樣設(shè)置了之后�,這個站點里的ASP程序就只有當(dāng)前這個文件夾的權(quán)限了�����,從探針上看�����,所有的硬盤都是紅叉叉����。
我的設(shè)置方法
我是先創(chuàng)建一個用戶組��,以后所有的站點的用戶都建在這個組里�����,然后設(shè)置這個組在各個分區(qū)沒病權(quán)限���。然后再設(shè)置各個IIS用戶在各在的文件夾里的權(quán)限。
因為比較多��,所以我很不想寫���,其實知道了上面的原理�����,大多數(shù)人都應(yīng)該懂了����,除非不知道怎么添加系統(tǒng)用戶和組�,不知道怎么設(shè)置文件夾權(quán)限,不知道IIS站點屬性在那里�。真的有那樣的人�����,你也不要著急��,要沉住氣慢慢來��,具體的方法其實自己也能摸索出來的,我就是這樣�。當(dāng)然,如果我有空�,我會寫我的具體設(shè)置方法,很傲能還會配上圖片����。
改名或卸載不安全組件
不安全組件不驚人
我的在阿江探針1.9里加入了不安全組件檢測功能(其實這是參考7i24的代碼寫的,只是把界面改的友好了一點��,檢測方法和他是基本一樣的)�����,這個功能讓很多站長吃驚不小�,因為他發(fā)現(xiàn)他的服務(wù)器支持很多不安全組件。
其實�,只要做好了上面的權(quán)限設(shè)置���,那么FSO、XML����、strem都不再是不安全組件了,因為他們都沒有跨出自己的文件夾或者站點的權(quán)限��。那個歡樂時光更不用怕���,有殺毒軟件在還怕什么時光啊�。
最危險的組件是WSH和Shell����,因為它可以運行你硬盤里的EXE等程序,比如它可以運行提升程序來提升SERV-U權(quán)限甚至用SERVU來運行更高權(quán)限的系統(tǒng)程序����。
卸載最不安全的組件
最簡單的辦法是直接卸載后刪除相應(yīng)的程序文件。將下面的代碼保存為一個.BAT文件�����,
regsvr32/u C:WINNTSystem32wshom.ocx
del C:WINNTSystem32wshom.ocx
regsvr32/u C:WINNTsystem32shell32.dll
del C:WINNTsystem32shell32.dll
然后運行一下���,WScript.Shell, Shell.application, WScript.Network就會被卸載了���??赡軙崾緹o法刪除文件����,不用管它,重啟一下服務(wù)器����,你會發(fā)現(xiàn)這三個都提示“×安全了�。
改名不安全組件
需要注意的是組件的名稱和Clsid都要改,并且要改徹底了����。下面以Shell.application為例來介紹方法。
打開注冊表編輯器【開始→運行→regedit回車】��,然后【編輯→查找→填寫Shell.application→查找下一個】��,用這個方法能找到兩個注冊表項:“{13709620-C279-11CE-A49E-444553540000}和“Shell.application�。為了確保萬無一失,把這兩個注冊表項導(dǎo)出來���,保存為 .reg 文件��。
比如我們想做這樣的更改
13709620-C279-11CE-A49E-444553540000 改名為 13709620-C279-11CE-A49E-444553540001
Shell.application 改名為 Shell.application_ajiang
那么����,就把剛才導(dǎo)出的.reg文件里的內(nèi)容按上面的對應(yīng)關(guān)系替換掉,然后把修改好的.reg文件導(dǎo)入到注冊表中(雙擊即可)���,導(dǎo)入了改名后的注冊表項之后�����,別忘記了刪除原有的`那兩個項目�。這里需要注意一點�����,Clsid中只能是十個數(shù)字和ABCDEF六個字母����。
下面是我修改后的代碼(兩個文件我合到一起了):
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}InProcServer32]
@="C:WINNTsystem32shell32.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}ProgID]
@="Shell.Application_ajiang.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}TypeLib]
@="{50a7e9b0-70ef-11d1-b75a-00a0c90564fe}"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}Version]
@="1.1"
[HKEY_CLASSES_ROOTCLSID{13709620-C279-11CE-A49E-444553540001}VersionIndependentProgID]
@="Shell.Application_ajiang"
[HKEY_CLASSES_ROOTShell.Application_ajiang]
@="Shell Automation Service"
[HKEY_CLASSES_ROOTShell.Application_ajiangCLSID]
@="{13709620-C279-11CE-A49E-444553540001}"
[HKEY_CLASSES_ROOTShell.Application_ajiangCurVer]
@="Shell.Application_ajiang.1"
你可以把這個保存為一個.reg文件運行試一下,但是可別就此了事����,因為萬一黑客也看了我的這篇文章��,他會試驗我改出來的這個名字的��。
防止列出用戶組和系統(tǒng)進程
我在阿江ASP探針1.9中結(jié)合7i24的方法利用getobject("WINNT")獲得了系統(tǒng)用戶和系統(tǒng)進程的列表��,這個列表可能會被黑客利用���,我們應(yīng)當(dāng)隱藏起來,方法是:
【開始→程序→管理工具→服務(wù)】���,找到Workstation�����,停止它,禁用它�����。
防止Serv-U權(quán)限提升
其實���,注銷了Shell組件之后�,侵入者運行提升工具的可能性就很小了�����,但是prel等別的腳本語言也有shell能力,為防萬一����,還是設(shè)置一下為好。
用Ultraedit打開ServUDaemon.exe查找Ascii:LocalAdministrator�����,和#l@$ak#.lk;0@P����,修改成等長度的其它字符就可以了,ServUAdmin.exe也一樣處理��。
另外注意設(shè)置Serv-U所在的文件夾的權(quán)限��,不要讓IIS匿名用戶有讀取的權(quán)限��,否則人家下走你修改過的文件�����,照樣可以分析出你的管理員名和密碼。
利用ASP漏洞攻擊的常見方法及防范
一般情況下���,黑客總是瞄準(zhǔn)論壇等程序����,因為這些程序都有上傳功能�����,他們很容易的就可以上傳ASP木馬�����,即使設(shè)置了權(quán)限�����,木馬也可以控制當(dāng)前站點的所有文件了���。另外�,有了木馬就然后用木馬上傳提升工具來獲得更高的權(quán)限����,我們關(guān)閉shell組件的目的很大程度上就是為了防止攻擊者運行提升工具。
如果論壇管理員關(guān)閉了上傳功能����,則黑客會想辦法獲得超管密碼,比如���,如果你用動網(wǎng)論壇并且數(shù)據(jù)庫忘記了改名�����,人家就可以直接下載你的數(shù)據(jù)庫了����,然后距離找到論壇管理員密碼就不遠了��。
作為管理員�����,我們首先要檢查我們的ASP程序��,做好必要的設(shè)置�,防止網(wǎng)站被黑客進入。另外就是防止攻擊者使用一個被黑的網(wǎng)站來控制整個服務(wù)器����,因為如果你的服務(wù)器上還為朋友開了站點��,你可能無法確定你的朋友會把他上傳的論壇做好安全設(shè)置��。這就用到了前面所說的那一大堆東西���,做了那些權(quán)限設(shè)置和防提升之后,黑客就算是進入了一個站點����,也無法破壞這個網(wǎng)站以外的東西。
計算機服務(wù)器的安全策略
網(wǎng)站要依靠計算機服務(wù)器來運行整個體系���,計算機服務(wù)器的安全程度直接關(guān)系著網(wǎng)站的穩(wěn)定程度,加強計算機服務(wù)器的安全等級�����,避免網(wǎng)站信息遭惡意泄露����。
一�、基于帳戶的安全策略
1�����、帳戶改名
Administrator和guest是Windows系統(tǒng)默認(rèn)的系統(tǒng)帳戶�,正因如此它們是最可能被利用,攻擊者通過破解密碼而登錄計算機服務(wù)器�����?�?梢酝ㄟ^為其改名進行防范����。
2、密碼策略
密碼策略作用于域帳戶或本地帳戶���,其中就包含以下幾個方面:強制密碼歷史�,密碼最長使用期限����,密碼最短使用期限�����,密碼長度最小值���,密碼必須符合復(fù)雜性要求,用可還原的`加密來存儲密碼�。
對于本地計算機的用戶帳戶,其密碼策略設(shè)置是在“本地安全設(shè)置”管理工個中進行的�。
3、帳戶鎖定
當(dāng)計算機服務(wù)器帳戶密碼不夠安全時���,非法用戶很容易通過多次重試“猜”出用戶密碼而登錄系統(tǒng)�����,存在很大的安全風(fēng)險�����。那如何來防止黑客猜解或者爆破計算機服務(wù)器密碼呢?
其實�,要避免這一情況�,通過組策略設(shè)置帳戶鎖定策略即可完美解決。此時當(dāng)某一用戶嘗試登錄系統(tǒng)輸入錯誤密碼的次數(shù)達到一定閾值即自動將該帳戶鎖定����,在帳戶鎖定期滿之前���,該用戶將不可使用���,除非管理員手動解除鎖定����。
二��、安全登錄系統(tǒng)
1��、遠程桌面
遠程桌面是比較常用的遠程登錄方式�,但是開啟“遠程桌面”就好像系統(tǒng)打開了一扇門,合法用戶可以進來���,惡意用戶也可以進來���,所以要做好安全措施。
(1).用戶限制
點擊“遠程桌面”下方的“選擇用戶”按鈕�,然后在“遠程桌面用戶” 窗口中點擊“添加”按鈕輸入允許的用戶,或者通過“高級→立即查找”添加用戶��。由于遠程登錄有一定的安全風(fēng)險,管理員一定要嚴(yán)格控制可登錄的帳戶�。
(2).更改端口
遠程桌面默認(rèn)的連接端口是3389,攻擊者就可以通過該端口進行連接嘗試��。因此���,安全期間要修改該端口�,原則是端口號一般是1024以后的端口�����,而且不容易被猜到���。
2�、telnet連接
telnet是命令行下的遠程登錄工具��,因為是系統(tǒng)集成并且操作簡單�,所以在計算機服務(wù)器管理占有一席之地。因為它在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)����,別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。而且����,這些服務(wù)程序的安全驗證方式也是有其弱點的���,就是很容易受到“中間人”(man-in-the-middle)這種方式的攻擊。�����,并且其默認(rèn)的端口是23這是大家都知道的����。因此我們需要加強telnet的安全性����。
3、第三方軟件
可用來遠程控制的第三方工具軟件非常多��,這些軟件一般都包括客戶端和計算機服務(wù)器端兩部分�����,需要分別在兩邊都部署好�����,才能實現(xiàn)遠控控制。一般情況下��,這些軟件被安全軟件定義為木馬或者后門��,從而進行查殺�����。安全期間建議大家不要使用此類軟件��,因為使用此類工具需要對安全軟件進行設(shè)置(排除�����、端口允許等)��,另外��,這類軟件也有可能被人植入木馬或者留有后門�,大家在使用時一定要慎重。
當(dāng)前名稱:更改服務(wù)器本地安全策略 更改服務(wù)器本地安全策略命令
網(wǎng)站地址:
http://weahome.cn/article/dojseoc.html
重慶分公司
重慶分公司
