安全登陸企業(yè)Windows服務(wù)器如何實現(xiàn)?
Windows服務(wù)器安全性包括很多層面,但是安全登陸無疑是眾多層面中最基礎(chǔ)的、最關(guān)鍵的一個環(huán)節(jié)。下面就讓我們來看一下如何實現(xiàn)安全登陸企業(yè)Windows服務(wù)器:
一、學(xué)會使用Run As Administrator命令進行管理訪問
在維護Windows服務(wù)器的時候,往往需要管理員的角色才能夠進行。當(dāng)系統(tǒng)管理員以這個角色登陸到系統(tǒng)之后,可能中途會暫時離開。此時就容易被別有用心的人乘機利用。有時候,在使用網(wǎng)絡(luò)上任何服務(wù)器之后注銷管理員帳戶往往是比較乏味的工作,很多人都會忘記。如果管理員忘記注銷或者因為暫時離開爾沒有退出管理員角色,那么任何經(jīng)過工作站的人員只要他愿意就可以破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施和Windows服務(wù)器系統(tǒng)。可見平臺系統(tǒng)管理員以管理員的身份登陸到系統(tǒng)中去存在比較大的安全隱患。在這種情況下,該如何提高其安全性呢?
筆者認為,充分靈活使用Run As Administrator命令可以消除這種安全隱患。簡單的說,任何IT人員在平時登陸的時候都是以受限制的用戶登陸,如User組的角色。等到需要使用管理員角色來進行某些操作的時候,再通過Run AS Adminsitrator命令來改變權(quán)限。此時即使管理員維護任務(wù)結(jié)束后沒有注銷,后果也不會很嚴(yán)重。因為控制臺不會賦予路過的用戶全部Windows服務(wù)器和網(wǎng)絡(luò)的管理權(quán)限。其最多只能夠運行管理員剛剛操作過的管理程序。而實際上過路人也很難了解前面的人操作哪些內(nèi)容。
要實現(xiàn)這個安全措施,也比較簡單,只需要按照如下的步驟操作即可。
***步:先創(chuàng)建一個普通權(quán)限的用戶
系統(tǒng)管理員可以在本機上或者活動目錄計算機上創(chuàng)建一個普通角色的用戶。在日常的工作中主要通過這個用戶登陸到Windows服務(wù)器系統(tǒng)。等到需要運行一些必須具有管理員權(quán)限才能夠運行的程序,如計算機管理程序,則再通過Run As Adminsitrator命令來改變用戶的權(quán)限。
第二步:以管理員角色運行管理工具
當(dāng)某個程序需要以管理員角色才能夠運行的時候,用戶不需要進行注銷等操作。而只需要選擇所需要運行的程序,然后選擇以Run As Adminsitrator角色運行即可。不過每次都這么操作顯然有點麻煩。如果可以配置管理員的桌面以便在以后加入管理工具時讓每個快捷方式都自動提示正確的證書的話,顯然方便許多。要實現(xiàn)這個需求的話,可以按如下操作進行。如選擇計算機管理程序(注意不用打開),由后右建選擇“屬性”,會打開如下的對話框。
在打開的對話框中,選擇快捷方式選項卡,然后選擇高級。系統(tǒng)會打開一個“高級屬性”的對話框。在這個對話框中會看到一個“用管理員身份”運行的的選項。選中這個選項即可。以后在普通用戶身份下運行這個應(yīng)用程序,系統(tǒng)不會提示用戶沒有權(quán)限運行這個程序。而是會自動打開一個對話框,要求用戶輸入管理員的帳戶與密碼。
特別提醒:
要更改這個快捷方式的屬性時,需要有管理員用戶的權(quán)限。即普通用戶角色無法進行如上的操作。所以需要管理員用戶在自己的角色中,先更改相關(guān)管理程序快捷方式的屬性。然后在普通用戶角色登陸時就會自動生效。其次需要注意的是,更改這個屬性之后,只有快捷方式會受到影響。如果直接去打開源程序,而不是通過快捷方式打開,仍然不會有這個小國。通常情況下,都是管理員將常用的管理工具的快捷方式部署在桌面上,然后更改這個快捷方式的屬性。以后運行的時候,都直接通過雙擊桌面上的快捷方式來運行。而不是找到源程序的位置來打開。
#p#
二、拒絕某些用戶的本地登陸
對于某些Windows服務(wù)器來說,可能只允許用戶遠程登錄,而不允許本地登陸。如現(xiàn)在有一個文件服務(wù)器,對于大部分用戶來說,如普通的員工,其只能夠遠程訪問,而不能夠在本機上進行登陸。如此的話,就可以保證只有特定的用戶可以在本機上登陸對服務(wù)器進行維護,從而提高Windows服務(wù)器的安全。要實現(xiàn)這個安全措施的話,可以按如下幾個步驟來操作。
***步:在Windows服務(wù)器上建立相關(guān)的角色
Windows服務(wù)器部署完成之后一般都會有一個服務(wù)器角色與普通用戶角色。為此通常情況下,只需要建立普通員工的角色。如可以按部門來設(shè)置角色。
第二步:指定拒絕本地登陸屬性
以上角色建立好之后,依次打開開始、所有程序、管理工具、本地安全策略。然后在節(jié)點窗口中,選擇“本地策略”、“用戶權(quán)限分配”。在右邊的窗口中,找到“拒絕本地登陸”選項,并雙擊打開。會彈開如下的對話框。
然后再將需要拒絕本地登陸的角色依次加入即可。
特別提醒:
一般情況下只允許兩個組本地登陸即可。分別是管理員組與普通用戶組。而普通用戶組中往往只有一個用戶,其不是為普通員工所使用的,而仍然是管理員所采用的。這主要是根據(jù)***個建議,管理員在剛開始登陸的時候,以普通用戶登陸。等到需要用到管理員權(quán)限的時候,再通過Run As Adminsitrator來進行轉(zhuǎn)換。
#p#
三、只允許特定的計算機或者用戶可以遠程訪問
某些Windows服務(wù)器可能只允許特定的用戶或者計算機才可以通過網(wǎng)絡(luò)訪問。如對于提供備份的服務(wù)器來說,只允許管理員可以遠程訪問。其他用戶不能夠通過網(wǎng)絡(luò)來登陸。這可以提高備份服務(wù)器的安全。要實現(xiàn)這個需求,也比較簡單。只需要依次打開開始、所有程序、管理工具、本地安全策略。然后在節(jié)點窗口中,選擇“本地策略”、“用戶權(quán)限分配”。在右邊的窗口中,找到“從網(wǎng)絡(luò)訪問此計算機”,然后選擇允許用戶通過網(wǎng)絡(luò)訪問的角色即可,如下圖所示。
安全登陸企業(yè)Windows服務(wù)器的設(shè)置中我們可以看出,這些內(nèi)容在操作的時候,其實并沒有難度。因為都是圖形化界面,操作非常容易。其實難就難在與在規(guī)劃Windows服務(wù)器與網(wǎng)絡(luò)安全的時候,很難想到這些內(nèi)容。筆者認為管理員只有養(yǎng)成一個“從小到大”的習(xí)慣性思維之后,才能夠切實做好Windows服務(wù)器的安全性設(shè)計。
