您现在的位置是:首页 > IT基础架构 > 网络与安全 >
保障服务器安全账号设置是关键
2008-10-14 22:43:00作者:帷幄来源:
摘要在局域网工作环境中,普通用户会经常访问局域网服务器中的共享资源,为了避免其中的共享资源受到非法用户的破坏,本文以Windows Server 2003系统为操作蓝本,要是大家使用的是其他服务器系统,其操作方法几乎与Windows Server 2003系统下的相同……...
在局域网工作环境中,普通用户会经常访问局域网服务器中的共享资源,为了避免其中的共享资源受到非法用户的破坏,我们需要采取安全措施来保护服务器中的共享资源。 “护驾”服务器访问安全的方法有很多,本文现在就从用户帐号的设置角度出发,来为各位朋友介绍一些保护服务器共享资源的秘籍!下面,本文就以 Windows Server 2003系统为操作蓝本,要是大家使用的是其他服务器系统,其操作方法几乎与Windows Server 2003系统下的相同!
让特定用户具有访问权限
在通过网络访问局域网服务器中的共享资源时,我们常常不希望所有用户都能畅通无阻地访问服务器系统中的核心信息,例如存储在服务器系统中的单位隐私信息、财务信息以及人事任免信息等。要实现这样的访问目的,我们可以先将这些不允许他人访问的重要信息集中保存到一个特定的文件夹中,之后对这个特定文件夹进行访问权限设置,下面就是具体的设置步骤:
首先在本地计算机系统桌面中用鼠标双击“我的电脑”图标,在弹出的“我的电脑”窗口中单击“工具”菜单项,从下拉菜单中单击“文件夹选项”命令,在弹出的文件夹选项设置对话框中单击“查看”标签,并在对应标签页面中将“使用简单文件共享”选项的选中状态取消,再单击“确定”按钮关闭文件夹选项设置对话框;
其次依次单击“开始”/“程序”/“附件”/“Windows资源管理器”命令,在弹出的系统资源管理器窗口中找到保存了重要信息的目标文件夹,并用鼠标右键单击该文件夹图标,从弹出的快捷菜单中执行“属性”命令,打开目标文件夹的属性设置界面;
单击该属性设置界面中的“安全”标签,并在对应标签页面中单击“添加”按钮,在其后出现的设置对话框中单击“高级”按钮,再单击“立即查找”按钮(如图1所示),之后将那些允许访问目标文件夹的用户选中并加入进来,而将“everyone”帐号从列表中删除掉,以便禁止任何一位普通用户不经过授权就能畅通无阻地访问局域网服务器目标文件夹中的重要信息。完成上面的设置操作后,只有特定用户才能有权限访问局域网服务器中的重要文件夹,而没有授权的用户都不能通过“everyone”帐号访问服务器中的重要文件夹,那样一来指定文件夹的安全性就能得到有效保证了。
授予新用户共享访问权限
要是我们希望将局域网服务器重要文件夹的网络访问权限授予新的用户时,那可以先在本地计算机中创建一个新的用户帐号,并按照前面的操作方法将目标文件夹的访问权限授予这个新用户帐号,下面就是具体的设置步骤:
首先先创建一个新用户帐号;在创建新用户帐号时,我们可以依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,再用鼠标逐一双击“管理工具”/“计算机管理”图标,打开对应系统的计算机管理窗口;
其次在计算机管理窗口的左侧显示区域,依次点选“本地用户和组”/“用户”分支选项,在对应“用户”分支选项的右侧显示区域中,用鼠标右键单击空白区域,从弹出的快捷菜单中执行“新用户”命令,打开一个创建新用户的设置对话框(如图2所示);在该设置对话框中,正确输入新用户的帐号名称,同时设置好对应帐号名称的密码信息,最后单击“创建”按钮完成新用户帐号的创建任务。
下面重新打开局域网服务器中保存了重要信息的目标文件夹属性设置窗口,单击该属性设置窗口中的“安全”标签,并在对应标签页面中单击“添加”按钮,在其后出现的设置对话框中单击“高级”按钮,再单击“立即查找”按钮,之后将新创建好的用户选中并加入进来,最后单击“确定”按钮就可以了。
限制用户通过网络来访问
如果想限制特定用户通过局域网中任何一台计算机访问服务器中的共享资源时,我们可以通过设置服务器系统的相关组策略参数,来禁止特定用户在所有计算机系统中通过网络访问服务器中的共享资源,这种限制方法常常会用于有“犯罪前科”的用户身上,以防止这些非法用户借共享访问之名来袭击局域网服务器,下面就是具体的设置步骤:
首先在服务器系统桌面中依次单击“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,再用鼠标逐一双击“管理工具”/“本地安全策略”图标,打开服务器系统的本地安全策略管理窗口;
其次在本地安全策略管理窗口的左侧显示区域中,用鼠标逐一展开“本地策略”/“用户权利指派”分支选项,在对应“用户权利指派”分支选项的右侧显示区域,用鼠标双击“从网络访问此计算机”组策略选项,打开如图3所示的目标组策略属性设置对话框;从该属性设置对话框的用户账号列表框中选中需要限制通过网络访问的用户账号,然后单击“删除”按钮,再单击“确定”按钮,那样一来被删除的特定用户日后就不能通过局域网任何一台计算机的网上邻居窗口寻找到局域网服务器的“身影”了,这样的话他也就不能通过网络访问局域网服务器中的重要共享资源了。
当然,要是我们希望任何用户不能在本地登录服务器系统时,也可以打开服务器系统的组策略编辑窗口,在该窗口的左侧显示区域依次单击“计算机配置 ”/“Windows设置”/“安全设置”/“本地策略”/“用户权利指派”分支选项,在对应“用户权利指派”分支选项的右侧显示区域中,用鼠标双击“拒绝本地登录”目标组策略,在其后出现的目标组策略属性设置窗口中,将禁止进行本地登录的用户账号选中,并单击“删除”按钮,最后单击“确定”按钮,那样一来指定账号的用户日后将无法在服务器本地进行登录系统,而只能从局域网的其他计算机中进行远程登录服务器。
小提示:
对于Windows Vista系统来说,我们可以直接采用系统自带的文件夹加密功能来保护保存了重要信息的文件夹访问安全性,那样一来即使非法用户能通过网络访问到安装了 Windows Vista系统的计算机,也无法顺利地查看到目标共享文件夹中的重要信息。为了避免不法分子随意访问共享文件夹,我们可以按照如下操作步骤来加密目标共享文件夹,以便只让拥有本地计算机系统合法账号的用户访问目标共享文件夹中的重要信息:
首先以系统管理员权限进入Windows Vista系统,依次单击该系统桌面中的“开始”/“程序”/“附件”/“Windows资源管理器”菜单选项,打开对应计算机系统的资源管理器窗口,从该窗口中找到目标共享文件夹,并用鼠标右击该共享文件夹,并执行快捷菜单中的“属性”命令,进入目标文件夹的属性设置对话框;
其次单击该设置对话框中的“常规”标签,单击对应标签设置页面中的“高级”按钮,进入目标共享文件夹的高级属性设置对话框,检查该对话框中的“ 加密内容以便保护数据”选项有没有被选中,一旦发现该选项还没有处于选中状态时,我们应该将它重新选中,再单击“确定”按钮返回;
下面再次进入“常规”标签设置页面中,单击“确定”按钮,那样的话Windows Vista系统将会依照目标文件夹或文件性质的不同而会自动弹出相应的提示信息,询问我们是否继续进行加密设置,例如在对目标共享文件夹进行加密时,Windows Vista系统会询问是否将加密设置自动应用到其下的子文件夹及文件,要是我们只对文件进行加密操作时,Windows Vista系统就会询问是否对它的父文件夹进行自动加密等,我们可以依照实际情况完成加密操作。
要是加密好目标共享文件夹后,那么我们在Windows Vista系统资源管理器窗口中会发现对应文件夹以绿色显示,查看它的加密属性信息时,我们会发现该共享文件夹只允许大家之前授权好的用户进行访问,而局域网中任何一位其他用户都无权访问。
不过,有一点需要提醒大家注意的是,对共享文件夹进行加密操作时,对应的文件夹只能保存在NTFS格式的磁盘中,并且加密过的文件夹日后就不能重复进行压缩操作了。
禁止组用户访问共享资源
倘若局域网中的用户比较多,我们现在只希望其中的一部分用户不能通过网络访问服务器中的共享资源,尽管我们可以按照前面的方法将所有允许访问的用户一一添加进来,不过这种操作方法比较费时,而且操作效率也不会很高。为了有效地提高操作效率,我们可以先为不能访问共享资源的所有用户创建一个用户组,然后修改服务器目标共享资源的安全属性信息,让指定用户组无权访问目标共享资源就可以了,下面就是具体的实现方法:
首先先创建一个用户组帐号;在创建新用户组帐号时,我们可以依次单击服务器系统桌面中的“开始”/“设置”/“控制面板”命令,在弹出的系统控制面板窗口中,再用鼠标逐一双击“管理工具”/“计算机管理”图标,打开对应系统的计算机管理窗口;
其次在计算机管理窗口的左侧显示区域,依次点选“本地用户和组”/“组”分支选项,在对应“组”分支选项的右侧显示区域中,用鼠标右键单击空白位置处,从弹出的快捷菜单中执行“新建组”命令,打开如图4所示的设置对话框,在该对话框中设置好合适的组名称,假设在这里我们将组名称设置为“黑名单 ”;之后单击“添加”按钮,从其后出现的用户账号列表框中,借助键盘中的Ctrl功能键将那些不允许通过网络访问服务器共享资源的所有用户账号一次性添加进来,最后单击“确定”按钮返回到如图4所示的设置对话框,再单击“创建”按钮,“黑名单”用户组就算创建成功了。
下面重新打开局域网服务器中保存了重要信息的目标文件夹属性设置窗口,单击该属性设置窗口中的“安全”标签,并在对应标签页面中单击“添加”按钮,在其后出现的设置对话框中单击“高级”按钮,再单击“立即查找”按钮,之后将新创建好的“黑名单”用户组选中并加入进来,并且将“黑名单”用户组下面的访问权限全部设置为“拒绝”,最后单击“确定”按钮就可以了。现在,所有加入到“黑名单”用户组中的所有组成员都将无权通过网络访问局域网服务器中的目标共享资源了。
让用户登录必须输入密码
有的时候,本地用户重新启动局域网服务器系统时,发现系统不需要输入密码进行身份验证就能直接进入服务器系统桌面中了,此时,局域网服务器中的重要共享资源将会完全暴露在用户面前,显然这是非常危险的。一旦我们发现服务器系统不需要输入密码就能直接登录时,我们必须按照下面的操作来强制服务器系统必须要求用户输入密码才能完成系统登录操作:
首先在服务器本地以系统管理员身份进入服务器系统,打开对应系统的“开始”菜单,从中点选“运行”命令,在其后出现的系统运行文本框中输入“regedit”字符串命令,单击“确定”按钮后,进入服务器系统的注册表编辑窗口;
其次将鼠标定位于注册表编辑窗口左侧显示区域的HKEY_LOCAL_MACHINE分支选项上,并从该分支选项下面依次点选目标注册表分支子项
SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,看看“Winlogon”子项下面是否存在“AutoAdminlogon”键值、 “DefaultUserName”键值、“DefaultPassword”键值等,一旦看到这些键值已经存在的话,我们应该一一选中它们并将它们全部删除掉;
下面重新返回到服务器系统桌面中,依次点选“开始”/“运行”命令,在其后出现的系统运行文本框中,输入字符串命令“control userpasswords2”,单击“确定”按钮后,打开对应系统的用户账户设置对话框;在该设置对话框中单击“用户”标签,进入如图5所示的标签设置页面,选中本地用户登录服务器系统时使用的特定账号,再选中对应设置窗口中的“要使用本机,用户必须输入用户和密码”选项,最后单击“确定”按钮保存好上面的设置操作,如此一来任何一位用户日后在本地登录服务器系统时,都需要正确输入用户账号对应的密码信息才能成功登录进服务器系统了,这样的话保存在服务器系统中的共享资源就不会被本地用户随意访问了。
小提示:
在实际管理和维护服务器的过程中,网络管理员时常会突然短时间离开服务器现场,此时很有可能会有一些不法分子趁机登录进入服务器系统,来偷偷访问保存在服务器中的重要共享资源。事实上,对于Windows Server 2008服务器系统来说,我们可以按照下面的操作步骤来快速查找到究竟是哪一些非法用户偷偷访问过服务器系统:
首先以系统管理员身份登录进Windows Server 2008服务器系统,从该系统桌面中打开“开始”菜单,从中点选“运行”菜单选项,在弹出的系统运行对话框中输入“gpedit.msc”字符串命令,单击“确定”按钮后进入对应服务器系统的组策略编辑窗口;
其次将鼠标定位于该组策略编辑窗口左侧显示区域中的“计算机配置”分支选项上,再从该分支选项下面依次点选“管理模板”、“Windows组件”、“Windows登录选项”组策略子项,在对应 “Windows登录选项”组策略子项下面找到“在用户登录期间显示有关以前登录的信息”项目,用鼠标双击该组策略项目,打开一个标题为“在用户登录期间显示有关以前登录的信息”的组策略属性设置窗口(如图6所示),检查其中的“已启用”选项是否处于选中状态,要是发现该选项还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好设置操作,如此一来Windows Server 2008服务器系统日后就能自动记忆用户账号上一次登录服务器系统的状态信息了。
完成好上面的设置操作之后,日后有不怀好意的用户趁网络管理员突然离开服务器时偷偷登录服务器系统时,对应用户的账号登录状态就会被 Windows Server 2008服务器系统自动记忆下来;下次,网络管理员在启动Windows Server 2008服务器系统并输入密码,单击“确定”按钮后,系统屏幕上将会自动弹出用户账号列表信息,从该列表中网络管理员就能清楚地发现究竟是哪一些非法用户趁网络管理员短暂离开服务器的时刻偷偷访问过本地服务器系统了,到时网络管理员就能采取有效安全措施进行应对了。
(本文不涉密)
责任编辑:
上一篇:机房不是牢房 怎么监控和管理机房
下一篇:打造批处理文件成IP地址跟踪器