企業(yè)Windows服務(wù)器如何安全登陸?
Windows服務(wù)器對(duì)于網(wǎng)絡(luò)管理員的重要性來(lái)說(shuō)是不言而喻的,但是關(guān)于Windows服務(wù)器的安全性方面,如何才能安全登陸是管理員最基礎(chǔ)的了解。具體內(nèi)容如下所述。
對(duì)于服務(wù)器來(lái)說(shuō),安全性包括很多層面。但是登陸安全無(wú)疑是眾多層面中最基礎(chǔ)的、最關(guān)鍵的一個(gè)環(huán)節(jié)。而就是因?yàn)槠浔容^基礎(chǔ),在現(xiàn)實(shí)工作中反而容易被遺忘。筆者對(duì)此做了幾個(gè)總結(jié),供大家參考。
一、學(xué)會(huì)使用Run As Administrator命令進(jìn)行管理訪問(wèn)
在維護(hù)服務(wù)器的時(shí)候,往往需要管理員的角色才能夠進(jìn)行。當(dāng)系統(tǒng)管理員以這個(gè)角色登陸到系統(tǒng)之后,可能中途會(huì)暫時(shí)離開(kāi)。此時(shí)就容易被別有用心的人乘機(jī)利用。有時(shí)候,在使用網(wǎng)絡(luò)上任何服務(wù)器之后注銷(xiāo)管理員帳戶往往是比較乏味的工作,很多人都會(huì)忘記。如果管理員忘記注銷(xiāo)或者因?yàn)闀簳r(shí)離開(kāi)爾沒(méi)有退出管理員角色,那么任何經(jīng)過(guò)工作站的人員只要他愿意就可以破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施和服務(wù)器系統(tǒng)。可見(jiàn)平臺(tái)系統(tǒng)管理員以管理員的身份登陸到系統(tǒng)中去存在比較大的安全隱患。在這種情況下,該如何提高其安全性呢?
筆者認(rèn)為,充分靈活使用Run As Administrator命令可以消除這種安全隱患。簡(jiǎn)單的說(shuō),任何IT人員在平時(shí)登陸的時(shí)候都是以受限制的用戶登陸,如User組的角色。等到需要使用管理員角色來(lái)進(jìn)行某些操作的時(shí)候,再通過(guò)Run AS Adminsitrator命令來(lái)改變權(quán)限。此時(shí)即使管理員維護(hù)任務(wù)結(jié)束后沒(méi)有注銷(xiāo),后果也不會(huì)很?chē)?yán)重。因?yàn)榭刂婆_(tái)不會(huì)賦予路過(guò)的用戶全部服務(wù)器和網(wǎng)絡(luò)的管理權(quán)限。其最多只能夠運(yùn)行管理員剛剛操作過(guò)的管理程序。而實(shí)際上過(guò)路人也很難了解前面的人操作哪些內(nèi)容。
要實(shí)現(xiàn)這個(gè)安全措施,也比較簡(jiǎn)單,只需要按照如下的步驟操作即可。
第一步:先創(chuàng)建一個(gè)普通權(quán)限的用戶
系統(tǒng)管理員可以在本機(jī)上或者活動(dòng)目錄計(jì)算機(jī)上創(chuàng)建一個(gè)普通角色的用戶。在日常的工作中主要通過(guò)這個(gè)用戶登陸到服務(wù)器系統(tǒng)。等到需要運(yùn)行一些必須具有管理員權(quán)限才能夠運(yùn)行的程序,如計(jì)算機(jī)管理程序,則再通過(guò)Run As Adminsitrator命令來(lái)改變用戶的權(quán)限。
第二步:以管理員角色運(yùn)行管理工具
當(dāng)某個(gè)程序需要以管理員角色才能夠運(yùn)行的時(shí)候,用戶不需要進(jìn)行注銷(xiāo)等操作。而只需要選擇所需要運(yùn)行的程序,然后選擇以Run As Adminsitrator角色運(yùn)行即可。不過(guò)每次都這么操作顯然有點(diǎn)麻煩。如果可以配置管理員的桌面以便在以后加入管理工具時(shí)讓每個(gè)快捷方式都自動(dòng)提示正確的證書(shū)的話,顯然方便許多。要實(shí)現(xiàn)這個(gè)需求的話,可以按如下操作進(jìn)行。如選擇計(jì)算機(jī)管理程序(注意不用打開(kāi)),由后右建選擇“屬性”,會(huì)打開(kāi)如下的對(duì)話框。
在打開(kāi)的對(duì)話框中,選擇快捷方式選項(xiàng)卡,然后選擇高級(jí)。系統(tǒng)會(huì)打開(kāi)一個(gè)“高級(jí)屬性”的對(duì)話框。在這個(gè)對(duì)話框中會(huì)看到一個(gè)“用管理員身份”運(yùn)行的的選項(xiàng)。選中這個(gè)選項(xiàng)即可。以后在普通用戶身份下運(yùn)行這個(gè)應(yīng)用程序,系統(tǒng)不會(huì)提示用戶沒(méi)有權(quán)限運(yùn)行這個(gè)程序。而是會(huì)自動(dòng)打開(kāi)一個(gè)對(duì)話框,要求用戶輸入管理員的帳戶與密碼。
特別提醒:
要更改這個(gè)快捷方式的屬性時(shí),需要有管理員用戶的權(quán)限。即普通用戶角色無(wú)法進(jìn)行如上的操作。所以需要管理員用戶在自己的角色中,先更改相關(guān)管理程序快捷方式的屬性。然后在普通用戶角色登陸時(shí)就會(huì)自動(dòng)生效。其次需要注意的是,更改這個(gè)屬性之后,只有快捷方式會(huì)受到影響。如果直接去打開(kāi)源程序,而不是通過(guò)快捷方式打開(kāi),仍然不會(huì)有這個(gè)小國(guó)。通常情況下,都是管理員將常用的管理工具的快捷方式部署在桌面上,然后更改這個(gè)快捷方式的屬性。以后運(yùn)行的時(shí)候,都直接通過(guò)雙擊桌面上的快捷方式來(lái)運(yùn)行。而不是找到源程序的位置來(lái)打開(kāi)。
二、拒絕某些用戶的本地登陸
對(duì)于某些服務(wù)器來(lái)說(shuō),可能只允許用戶遠(yuǎn)程登錄,而不允許本地登陸。如現(xiàn)在有一個(gè)文件服務(wù)器,對(duì)于大部分用戶來(lái)說(shuō),如普通的員工,其只能夠遠(yuǎn)程訪問(wèn),而不能夠在本機(jī)上進(jìn)行登陸。如此的話,就可以保證只有特定的用戶可以在本機(jī)上登陸對(duì)服務(wù)器進(jìn)行維護(hù),從而提高服務(wù)器的安全。要實(shí)現(xiàn)這個(gè)安全措施的話,可以按如下幾個(gè)步驟來(lái)操作。
第一步:在服務(wù)器上建立相關(guān)的角色
服務(wù)器部署完成之后一般都會(huì)有一個(gè)服務(wù)器角色與普通用戶角色。為此通常情況下,只需要建立普通員工的角色。如可以按部門(mén)來(lái)設(shè)置角色。
第二步:指定拒絕本地登陸屬性
以上角色建立好之后,依次打開(kāi)開(kāi)始、所有程序、管理工具、本地安全策略。然后在節(jié)點(diǎn)窗口中,選擇“本地策略”、“用戶權(quán)限分配”。在右邊的窗口中,找到“拒絕本地登陸”選項(xiàng),并雙擊打開(kāi)。會(huì)彈開(kāi)如下的對(duì)話框。
然后再將需要拒絕本地登陸的角色依次加入即可。
特別提醒:
一般情況下只允許兩個(gè)組本地登陸即可。分別是管理員組與普通用戶組。而普通用戶組中往往只有一個(gè)用戶,其不是為普通員工所使用的,而仍然是管理員所采用的。這主要是根據(jù)第一個(gè)建議,管理員在剛開(kāi)始登陸的時(shí)候,以普通用戶登陸。等到需要用到管理員權(quán)限的時(shí)候,再通過(guò)Run As Adminsitrator來(lái)進(jìn)行轉(zhuǎn)換。
三、只允許特定的計(jì)算機(jī)或者用戶可以遠(yuǎn)程訪問(wèn)
某些服務(wù)器可能只允許特定的用戶或者計(jì)算機(jī)才可以通過(guò)網(wǎng)絡(luò)訪問(wèn)。如對(duì)于提供備份的服務(wù)器來(lái)說(shuō),只允許管理員可以遠(yuǎn)程訪問(wèn)。其他用戶不能夠通過(guò)網(wǎng)絡(luò)來(lái)登陸。這可以提高備份服務(wù)器的安全。要實(shí)現(xiàn)這個(gè)需求,也比較簡(jiǎn)單。只需要依次打開(kāi)開(kāi)始、所有程序、管理工具、本地安全策略。然后在節(jié)點(diǎn)窗口中,選擇“本地策略”、“用戶權(quán)限分配”。在右邊的窗口中,找到“從網(wǎng)絡(luò)訪問(wèn)此計(jì)算機(jī)”,然后選擇允許用戶通過(guò)網(wǎng)絡(luò)訪問(wèn)的角色即可,如下圖所示。
從以上的設(shè)置中可以看出,這些內(nèi)容在操作的時(shí)候,其實(shí)并沒(méi)有難度。因?yàn)槎际菆D形化界面,操作非常容易。其實(shí)難就難在與在規(guī)劃服務(wù)器與網(wǎng)絡(luò)安全的時(shí)候,很難想到這些內(nèi)容。筆者認(rèn)為管理員只有養(yǎng)成一個(gè)“從小到大”的習(xí)慣性思維之后,才能夠切實(shí)做好服務(wù)器的安全性設(shè)計(jì)。
企業(yè)Windows服務(wù)器安全登陸的方法本文已經(jīng)介紹了,希望能夠?qū)Υ蠹矣兴鶐椭?/p>
【編輯推薦】
