服务器安全设置技巧

来自站长百科
跳转至: 导航、​ 搜索

服务器往往是局域网中保存重要信息的主机,要想保护其中的重要信息不被丢失或不对外泄密,必须先要确保服务器系统自身能够安全稳定地运行。然而很多时候,网络管理员在对服务器进行各种管理操作时,由于不注重一些安全细节,导致服务器系统存在很大的安全隐患。例如,为了能够对服务器系统进行各种管理操作,网络管理员往往需要使用特殊权限帐号登录进服务器系统才行;

不过,在随意使用特殊权限帐号进入服务器系统后,也容易给服务器系统招惹安全麻烦;然而在实际管理服务器的时候,许多应用程序在开发、设计的时候并没有考虑到系统安全性因素,这使得网络管理员被迫使用特权帐号来进入服务器系统,时间一长服务器系统遭受到的安全威胁也就越大。为了让服务器管理更安全,本文就为各位朋友贡献几则服务器系统的安全设置技巧,希望大家能从这些技巧中得到一点收获!

  

允许普通用户自动登录[ ]

  • 由于服务器主机中常常存储有单位的重要信息,因此单位的每一位员工可能经常会去访问它,此时一些不怀好意的员工可能会趁机与服务器主机建立非法连接,并尝试对服务器系统进行恶意攻击;
  • 为了及时制止非法攻击与服务器主机建立连接,网络管理员有时需要对服务器系统进行定期重启,以便及时断开与服务器系统建立的各种非法连接。不过,在重新启动服务器系统后,安装在服务器系统中的一些管理应用程序一般无法自动启动,那样一来它们就不会对外正常提高服务了。
  • 为了确保这些特殊的应用程序在服务器系统重新启动后,能够自动地启动运行来为我们提供正常的服务,我们需要想办法让服务器系统自动执行登录操作,并且还要保证不能以特权帐号登录服务器系统。
  • 此时,我们不妨按照下面的操作,来限定系统以普通用户帐号自动登录,这样就能实现特定应用程序随系统登录而自动启动运行了;不过,需要注意的是,这里使用的普通用户帐号一定要拥有运行该特定应用程序的操作权限,确保普通用户帐号登录操作成功后,能自动运行特定的应用程序。

操作步骤[ ]

  1. 首先以特权帐号登录进本地服务器系统,并打开该系统的“开始”菜单,从中选择“运行”命令,打开系统的运行对话框,在其中输入字符串命令“regedit”,单击回车键后,进入服务器系统的注册表编辑窗口;
  2. 其次在注册表编辑窗口的左侧显示区域,选中“HKEY_LOCAL_MACHINE”分支选项,之后再用鼠标双击该分支下面的“SoftwareMicrosoftWindows NTCurrentVersionWinlogon”子项(如图1所示),检查Winlogon子项下面是否存在“AutoAdminLogon”键值,如果没有发现该键值的话,那可以直接用鼠标右键单击Winlogon子项,从弹出的快捷菜单中依次选择“新建”/“字符串值”选项,来将“AutoAdminLogon”键值重新创建好,同时将该键值的数值调整为“1”;
  3. 然后选择允许普通用户自动登录,接着再看看Winlogon子项下面是否存在“DefaultDomainName”键值,如果看不到该键值的话,我们同样需要用鼠标右键单击Winlogon子项,从弹出的快捷菜单中依次选择“新建”/“字符串值”选项,来将“DefaultDomainName”键值重新创建好,同时将该键值的数值调整为服务器主机的名称;


  • 按照相同的操作办法,在Winlogon子项下面再依次创建好“DefaultUserName”、“DefaultPassword”字符串键值,并将“DefaultUserName”键值的数值取为能够运行特定应用程序的普通用户帐号名称,将“DefaultPassword”键值的数值取为普通帐号的对应密码,最后重新启动一下服务器系统,那样一来服务器系统即使重新启动,但是被事先指定的普通帐号也能够自动登录服务器系统。
  • 当然,完成普通用户帐号自动登录服务器系统的设置任务后,我们还需要在对应该普通用户帐号登录状态下,创建一个能够运行特定应用程序的脚本文件,并让服务器系统完成用户登录操作后,自动去执行这个脚本文件。还有一种更简单的方法,那就是把需要自动运行的特殊应用程序快捷方式直接拖放到服务器系统的“启动”组中。

操作小提示[ ]

  • 为了让服务器系统能够自动定时启动,我们可以巧妙地使用Windows Server 2003系统自带的shutdown.exe程序,来强制服务器系统在指定时间自动重新启动。
  • 我们可以先在服务器系统中打开“开始”菜单,从中依次选择“程序”/“附件”/“系统工具”/“任务计划”选项,在其后窗口中用鼠标双击“添加新任务”选项,打开任务计划创建向导界面,根据向导界面的提示将shutdown.exe程序添加进来,然后依次设置好任务计划的名称、执行时间,最后单击“完成”按钮结束任务计划的创建工作。
  • 再次打开服务器系统的任务计划列表窗口,用鼠标右键单击之前创建好的新任务计划图标,并执行右键菜单中的“属性”命令,在对应的属性设置窗口中,找到“运行”文本框中的字符串命令shutdown.exe,再在该命令后面添加上“ -r -f”参数,最后单击“确定”按钮,如此一来服务器系统日后就能在指定时间重新启动了。

 

禁止普通用户非法破坏[ ]

  • 当网络管理员以特权帐号登录进服务器系统后,如果突然有急事处理暂时离开服务器现场,而恰好此时服务器系统的屏幕保护功能还没有设置密码保护时,那么普通用户可能会趁机对服务器系统做出不安全的举动,从而给服务器系统带来安全麻烦。为了让服务器系统的安全威胁降到最低限度,我们不妨按照如下操作步骤,强行要求服务器系统在最短时间内启动具有密码保护功能的屏幕保护程序。
  • 首先以特权帐号登录进服务器系统,打开该系统的“开始”菜单,从中选择“运行”命令,在其后出现的系统运行文本框中,输入字符串命令“regedit”,单击回车键后,进入服务器系统的注册表编辑窗口;
  • 其次选中该注册表编辑窗口左侧显示区域中的HKEY_CURRENT_USER选项,用鼠标依次展开该选项下面的“Control Paneldesktop”子项(如图2所示),检查desktop子项下面是否存在字符串键值“ScreenSaveActive”,如果看不到该键值的话,那么我们可以用鼠标右键单击desktop子项,从弹出的右键菜单中依次选择“新建”、“字符串值”选项,之后将新建的键值名称取为“ScreenSaveActive”,同时将该键值的数值调整为“1”,那样一来服务器系统在1分钟之内就会自动启用屏幕保护程序了;
  • 下面再仔细看看desktop子项下面是否存在“ScreenSaverlsSecure”键值,要是找不到该键值的话,我们按照同样的方法,用鼠标右击desktop子项,再执行右键菜单中的“新建”/“字符串值”命令,来重新创建好字符串值键值“ScreenSaverlsSecure”,同时将它的数值调整为1,这样就能强制服务器系统启用屏幕保护的密码保护功能了;此外,我们还需要在desktop注册表子项下面创建一个“ScreenSaveTimeOut”键值,并且将该键值的数值也设置为“1”;完成上面的所有设置操作后,将服务器系统重新启动一下就能使上述设置生效了。

允许普通用户管理系统[ ]

  • 也许不少朋友见到这样的标题感到非常惊讶,在普通用户登录状态下,我们如何对服务器系统进行各种管理维护操作呢?因为,在默认状态下,服务器系统的许多操作都需要拥有特权的系统管理员才能进行,普通用户由于操作权限十分有限,即使他们登录进了服务器系统,也不能进行太多的管理维护操作。这么说来,难道在普通用户登录状态下,我们就无法对服务器进行管理维护了吗?其实,在普通用户登录状态下,我们仍然能够以特权身份对服务器系统进行管理,并且这种管理方法往往很安全,下面就是该方法的具体操作步骤。
  • 首先以普通用户权限登录进本地服务器系统,进入该系统后由于权限原因,我们往往无法直接对服务器系统进行各种维护操作;此时我们可以找到需要运行或管理的目标应用程序或系统组件程序,按下键盘上的功能键“Shift”,同时用鼠标右键单击需要运行或管理的目标应用程序或系统组件程序,从弹出的快捷菜单中选择“运行方式”命令;
  • 随后,我们会看到如图3所示的设置对话框,选中该对话框中的“下列用户”选项,并且在“用户名”文本框中正确输入服务器系统的超级管理员帐号名称,在“密码”文本框中输入对应该管理员帐号的密码内容,再单击其中的“确定”按钮,那样一来我们就能以特权身份来启动运行服务器系统中的目标应用程序或系统组件了,之后就能对这些应用程序或系统组件进行参数配置或其他管理维护操作了。
  • 为了能在普通用户登录状态下,对服务器系统进行更加全面的管理,我们可以找到服务器系统中的IE运行程序,按下键盘上的功能键“Shift”,同时用鼠标右键单击IE程序,再执行“运行方式”命令,之后输入系统管理员帐号名称和密码,打开IE浏览器窗口,在该窗口中我们可以执行菜单栏中的“查看”/“浏览器栏”命令或“查看”/“文件夹”命令,在随后出现的界面中就能对服务器进行各种形式的管理操作了。
  • 例如,我们可以在该窗口中删除服务器系统中的某个文件夹,或者对其中的文件进行复制、粘贴操作等,也能自由添加或删除服务器系统中的硬件设备,甚至还可以自由地对服务器虚拟内存参数进行合适调整等。完成服务器系统的管理维护任务后,我们只要简单地关闭一下IE浏览器窗口,就能将服务器系统快速地切换到普通用户登录状态了,那样的话服务器系统安全性就能得到有效保证了。

相关条目[ ]

参考来源[ ]