企業Windows服務器如何安全登陸?
Windows服務器對于網絡管理員的重要性來說是不言而喻的,但是關于Windows服務器的安全性方面,如何才能安全登陸是管理員最基礎的了解。具體內容如下所述。
對于服務器來說,安全性包括很多層面。但是登陸安全無疑是眾多層面中最基礎的、最關鍵的一個環節。而就是因為其比較基礎,在現實工作中反而容易被遺忘。筆者對此做了幾個總結,供大家參考。
一、學會使用Run As Administrator命令進行管理訪問
在維護服務器的時候,往往需要管理員的角色才能夠進行。當系統管理員以這個角色登陸到系統之后,可能中途會暫時離開。此時就容易被別有用心的人乘機利用。有時候,在使用網絡上任何服務器之后注銷管理員帳戶往往是比較乏味的工作,很多人都會忘記。如果管理員忘記注銷或者因為暫時離開爾沒有退出管理員角色,那么任何經過工作站的人員只要他愿意就可以破壞網絡基礎設施和服務器系統。可見平臺系統管理員以管理員的身份登陸到系統中去存在比較大的安全隱患。在這種情況下,該如何提高其安全性呢?
筆者認為,充分靈活使用Run As Administrator命令可以消除這種安全隱患。簡單的說,任何IT人員在平時登陸的時候都是以受限制的用戶登陸,如User組的角色。等到需要使用管理員角色來進行某些操作的時候,再通過Run AS Adminsitrator命令來改變權限。此時即使管理員維護任務結束后沒有注銷,后果也不會很嚴重。因為控制臺不會賦予路過的用戶全部服務器和網絡的管理權限。其最多只能夠運行管理員剛剛操作過的管理程序。而實際上過路人也很難了解前面的人操作哪些內容。
要實現這個安全措施,也比較簡單,只需要按照如下的步驟操作即可。
第一步:先創建一個普通權限的用戶
系統管理員可以在本機上或者活動目錄計算機上創建一個普通角色的用戶。在日常的工作中主要通過這個用戶登陸到服務器系統。等到需要運行一些必須具有管理員權限才能夠運行的程序,如計算機管理程序,則再通過Run As Adminsitrator命令來改變用戶的權限。
第二步:以管理員角色運行管理工具
當某個程序需要以管理員角色才能夠運行的時候,用戶不需要進行注銷等操作。而只需要選擇所需要運行的程序,然后選擇以Run As Adminsitrator角色運行即可。不過每次都這么操作顯然有點麻煩。如果可以配置管理員的桌面以便在以后加入管理工具時讓每個快捷方式都自動提示正確的證書的話,顯然方便許多。要實現這個需求的話,可以按如下操作進行。如選擇計算機管理程序(注意不用打開),由后右建選擇“屬性”,會打開如下的對話框。
在打開的對話框中,選擇快捷方式選項卡,然后選擇高級。系統會打開一個“高級屬性”的對話框。在這個對話框中會看到一個“用管理員身份”運行的的選項。選中這個選項即可。以后在普通用戶身份下運行這個應用程序,系統不會提示用戶沒有權限運行這個程序。而是會自動打開一個對話框,要求用戶輸入管理員的帳戶與密碼。
特別提醒:
要更改這個快捷方式的屬性時,需要有管理員用戶的權限。即普通用戶角色無法進行如上的操作。所以需要管理員用戶在自己的角色中,先更改相關管理程序快捷方式的屬性。然后在普通用戶角色登陸時就會自動生效。其次需要注意的是,更改這個屬性之后,只有快捷方式會受到影響。如果直接去打開源程序,而不是通過快捷方式打開,仍然不會有這個小國。通常情況下,都是管理員將常用的管理工具的快捷方式部署在桌面上,然后更改這個快捷方式的屬性。以后運行的時候,都直接通過雙擊桌面上的快捷方式來運行。而不是找到源程序的位置來打開。
二、拒絕某些用戶的本地登陸
對于某些服務器來說,可能只允許用戶遠程登錄,而不允許本地登陸。如現在有一個文件服務器,對于大部分用戶來說,如普通的員工,其只能夠遠程訪問,而不能夠在本機上進行登陸。如此的話,就可以保證只有特定的用戶可以在本機上登陸對服務器進行維護,從而提高服務器的安全。要實現這個安全措施的話,可以按如下幾個步驟來操作。
第一步:在服務器上建立相關的角色
服務器部署完成之后一般都會有一個服務器角色與普通用戶角色。為此通常情況下,只需要建立普通員工的角色。如可以按部門來設置角色。
第二步:指定拒絕本地登陸屬性
以上角色建立好之后,依次打開開始、所有程序、管理工具、本地安全策略。然后在節點窗口中,選擇“本地策略”、“用戶權限分配”。在右邊的窗口中,找到“拒絕本地登陸”選項,并雙擊打開。會彈開如下的對話框。
然后再將需要拒絕本地登陸的角色依次加入即可。
特別提醒:
一般情況下只允許兩個組本地登陸即可。分別是管理員組與普通用戶組。而普通用戶組中往往只有一個用戶,其不是為普通員工所使用的,而仍然是管理員所采用的。這主要是根據第一個建議,管理員在剛開始登陸的時候,以普通用戶登陸。等到需要用到管理員權限的時候,再通過Run As Adminsitrator來進行轉換。
三、只允許特定的計算機或者用戶可以遠程訪問
某些服務器可能只允許特定的用戶或者計算機才可以通過網絡訪問。如對于提供備份的服務器來說,只允許管理員可以遠程訪問。其他用戶不能夠通過網絡來登陸。這可以提高備份服務器的安全。要實現這個需求,也比較簡單。只需要依次打開開始、所有程序、管理工具、本地安全策略。然后在節點窗口中,選擇“本地策略”、“用戶權限分配”。在右邊的窗口中,找到“從網絡訪問此計算機”,然后選擇允許用戶通過網絡訪問的角色即可,如下圖所示。
從以上的設置中可以看出,這些內容在操作的時候,其實并沒有難度。因為都是圖形化界面,操作非常容易。其實難就難在與在規劃服務器與網絡安全的時候,很難想到這些內容。筆者認為管理員只有養成一個“從小到大”的習慣性思維之后,才能夠切實做好服務器的安全性設計。
企業Windows服務器安全登陸的方法本文已經介紹了,希望能夠對大家有所幫助。
【編輯推薦】
