注冊表讓服務器遠程訪問更安全
為了更高效地管理好服務器,不少系統管理員都開通了遠程訪問功能,這樣的話許多管理維護操作就不需要到服務器現場進行了。可是,一旦開通了遠程訪問功能,那么服務器的安全就可能會受到一定的影響;為此,本文下面通過修改注冊表的方法,來確保服務器遠程訪問更安全:
1、拒絕創建新的局域網連接
大家知道,如果允許非法用戶在自己的Windows 2000服務器中,隨意創建新的局域網連接的話,那么本地服務器的安全將受到威脅,因為非法用戶就能通過自己創建的局域網連接“通道”,來對本地服務器進行遠程非法攻擊了。為此,你可以通過下面的方法,來阻止普通帳號下的用戶,隨意在本地服務器中創建新的局域網連接組件,從而實現拒絕創建新的遠程連接通道的目的:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections上,如圖1所示;
在對應Network Connections注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區域,從彈出的快捷菜單中依次執行“新建”/“雙字節值”命令,并將新創建的雙字節值名稱設置為“NC_AddRemoveComponents”,再用鼠標雙擊“NC_AddRemoveComponents”項目,在彈出的數值設置窗口中,輸入“0”,再單擊“確定”按鈕,最后按下F5功能鍵來刷新一下系統注冊表,這樣就能使上述設置生效了。
為了防止非法用戶隨意修改已經創建好的局域網連接組件的屬性,導致已經創建好的局域網連接組件不能使用,你可以在對應Network Connections注冊表分支的右邊子窗口中,再分別創建一個名為“NC_LanChangeProperties”、“NC_RasChangeProperties”的雙字節值,并將它們的數值都設置為“0”,最后單擊“確定”按鈕,并刷新一下系統注冊表。
2、拒絕新用戶與服務器連接
也許你的Windows XP終端服務器允許多個客戶同時與之遠程保持連接,可是在實際連接的過程中,有時為了保證每個遠程連接的傳輸速度都很快捷,你需要在服務器保持活動狀態的前提下,阻止其他的新用戶繼續與服務器保持連接,要實現這樣的目的,你可以按照如下步驟來進行操作:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上,如圖2所示;
在對應Terminal Services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區域,從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令,并將新創建的雙字節值名稱設置為“fDenyTSConnetions”,再用鼠標雙擊“fDenyTSConnetions”項目,在彈出的數值設置窗口中,輸入“1”,再單擊“確定”按鈕,那么系統的終端服務器就能在不斷開已有連接的前提下,拒絕新的用戶與服務器進行連接了,要是你將“fDenyTSConnetions”項目的數值設置為“0”,那么系統的終端服務器就能允許多個新的用戶與之連接了。
3、阻止用戶維持多個遠程會話
Windows XP系統的終端服務器在缺省狀態下,可以允許每一個遠程連接用戶同時保持多個遠程會話,并為每一個遠程會話維持任意長的時間;不過這樣一來,系統的終端服務器運行效率就會受到影響。為此,你可以通過下面的方法,來阻止用戶維持多個遠程會話,確保每一個遠程連接用戶只能在終端服務器保持一個遠程會話:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上;
在對應Terminal Services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區域,從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令,并將新創建的雙字節值名稱設置為“fSingleSessionPerUser”,再用鼠標雙擊“fSingleSessionPerUser”項目,在彈出的數值設置窗口中,輸入“1”(如圖3所示),再單擊“確定”按鈕,那么系統的終端服務器日后就會對遠程連接用戶的會話數目進行限制,確保每一個用戶只能保持一個會話。
如果你將“fSingleSessionPerUser”項目的數值設置為“0”的話,那么系統的終端服務器就會對遠程連接用戶的會話數目不進行任何限制。
4、拒絕遠程訪問共享端口
大家知道Windows 2000服務器中的并行端口、串行端口等設備,通常都安裝有類似網絡打印機之類的共享設備,在默認狀態下,服務器允許任意用戶遠程訪問這些共享端口。不過為了保證服務器的安全,你最好還是禁止普通用戶遠程訪問它們,以防止非法用戶通過它們攻擊服務器;下面就是拒絕普通帳號下的用戶,遠程訪問共享端口的具體操作:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager上;
在對應Session Manager注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區域,從彈出的快捷菜單中依次執行“新建”/“雙字節值”命令,并將新創建的雙字節值名稱設置為“ProtectionMode”,如圖4所示,再用鼠標雙擊“ProtectionMode”項目,在彈出的數值設置窗口中,輸入“1”,再單擊“確定”按鈕,并將服務器系統重新啟動一下,如此一來服務器就只能允許系統管理員來訪問和管理這些共享端口了。
5、阻止遠程刪除桌面墻紙
如果你不希望非法用戶隨意將遠程桌面中的墻紙強行刪除的話,那么你只要按照如下步驟來操作就可以了:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕后,打開系統的注冊表編輯界面,將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上;
在對應Terminal Services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區域,從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令,并將新創建的雙字節值名稱設置為“fNoRemoteDesktopWallpaper”,再用鼠標雙擊“fNoRemoteDesktopWallpaper”項目,在彈出的數值設置窗口中,輸入“0”(如圖5所示),再單擊“確定”按鈕,并刷新一下系統注冊表就可以了。值得注意的是,該方法僅在Windows XP服務器系統中有效。
6、拒絕遠程安裝打印驅動
在缺省狀態下,Windows 2000服務器系統允許普通帳號下的用戶,通過遠程方式在服務器中安裝打印驅動程序,如此一來這些用戶就能在服務器中隨意安裝新的網絡打印機了。不過這樣的話,服務器的安全可能就會受到威脅,例如非法用戶拼命向網絡打印機發送垃圾任務的話,就能導致服務器系統運行性能下降,甚至能造成服務器出現死機現象。為了避免普通帳號下的用戶,隨意通過遠程方式在本地服務器中安裝打印驅動,你可以按照如下設置,來拒絕遠程安裝打印驅動:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕之后,在隨后彈出的注冊表編輯窗口中,將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services上,如圖6所示;
右擊“LanMan Print Services”注冊表分支,從打開的快捷菜單中依次單擊“新建”/“雙字節值”命令,并將它的名稱輸入為“AddPrintDrivers”,再將“AddPrintDrivers”雙字節值的數值設置為“1”,最后刷新一下系統注冊表,這樣的話服務器系統日后就只允許系統管理員以及管理員組中的用戶,可以進行遠程安裝打印驅動了。
7、對遠程連接數量進行限制
為了保證Windows XP終端服務器始終處于高效運行狀態,你應該想辦法對服務器在同一時間內建立的遠程連接數量進行適當限制,這樣終端服務器的性能就會得到穩定。在對Windows XP終端服務器的遠程連接數量進行限制時,你可以按照如下步驟來限制:
依次單擊“開始”/“運行”命令,在打開的系統運行對話框中,輸入注冊表編輯命令“Regedit”,單擊“確定”按鈕后,打開系統的注冊表編輯界面,將鼠標定位于注冊表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上;
在對應Terminal Services注冊表分支的右邊子窗口中,用鼠標右鍵單擊空白區域,從彈出的快捷菜單中依次執行“新建”/“DWORD值”命令,并將新創建的雙字節值名稱設置為“MaxInstanceCount”,再用鼠標雙擊“MaxInstanceCount”項目,在彈出的數值設置窗口中,輸入合適的連接數量,例如允許10個用戶同時與服務器遠程連接的話,你就可以在這里輸入“10”(如圖7所示),再單擊“確定”按鈕就可以了。
【編輯推薦】
