相信每一位網絡管理員都知道巧妙地控制好用戶賬號可以有效地保證服務器系統的安全在舊版本服務器系統環境下每一位網絡管理員可能都總結出了一些適合自己的用戶賬號控制技巧那麼這些控制技巧在新的Windows Server 系統環境下是否還能適用呢?事實上與舊版本服務器系統相比Windows Server 系統的不但安全功能更加強大而且它的賬號管理控制功能也是十分靈活這不我們可以利用Windows Server 系統為用戶提供的強大賬號管理功能來隨心所欲地控制好本地服務器中的任意用戶對服務器中的資源進行安全訪問!
啟用UAC進行帳戶控制提示
接觸過Windows Vista系統的朋友肯定知道在默認狀態下Windows Vista系統會自動啟用UAC功能的那樣一來登錄進本地系統的任意一位用戶在運行一些重要程序或刪除系統中的一些重要文件時系統立即就會彈出用戶帳戶控制提示窗口要求用戶慎重對待當前的操作要是用戶選中了該提示窗口中的取消選項那麼計算機系統就會停止當前的操作很明顯UAC功能的啟用在很大程度上能夠保證本地計算機系統的運行安全性以避免用戶發生誤操作時給系統的運行帶來安全威脅而對於Windows Server 服務器系統來說UAC功能其實顯得更為重要畢竟想方設法保護服務器系統的安全是每一位網絡管理員的工作職責但讓人感到有點遺憾的是在默認狀態下我們嘗試在服務器系統中運行一些應用程序時Windows Server 系統並沒有彈出用戶賬號控制提示窗口來要求我們用戶對當前操作進行確認這難道是Windows Server 系統拋棄了UAC功能?答案是否定的!Windows Server 系統同樣也內置了UAC功能只是在默認狀態下該系統並沒有將UAC功能啟用起來為了有效保護服務器系統的安全我們可以對Windows Server 系統進行如下設置讓其將用戶賬號控制功能重新啟用起來這樣就能阻止一些非法程序隨意安裝在服務器系統中了同時也能夠避免網絡管理員在管理維護服務器系統的時候發生一些誤操作
首先以系統管理員身份打開Windows Server 系統的開始菜單從中選擇運行命令在其後的系統運行框中輸入msconfig字符串命令單擊確定按鈕後進入本地服務器的系統配置對話框
其次在該對話框中單擊工具標簽打開如圖所示的標簽設置頁面從該頁面的工具名稱列表框中選擇啟用UAC選項再單擊對應設置頁面中的啟動按鈕隨後根據屏幕提示重新啟動一下Windows Server 系統這樣一來網絡管理員日後在本地服務器系統中安裝應用程序或執行文件刪除操作時就能看到系統彈出用戶賬號控制提示窗口了那麼本地服務器系統的安全自然也就多了一層保護
安全登錄謹防賬號密碼丟失
很多時候網絡管理員為了提高服務器系統的登錄效率常常會將自己使用的系統管理員賬號設置成自動登錄本地服務器系統而不希望每次登錄系統都要重復賬號信息與密碼信息然而在自動登錄服務器系統的過程中一些具有模仿登錄功能的木馬程序能夠偷偷獲取到自動登錄系統時所使用的系統管理員賬號以及密碼信息一旦服務器系統的管理員賬號及密碼被丟失的話那麼本地服務器系統的安全性自然也就會受到很大的威脅為了保護服務器系統的安全我們可以在Windows Server 系統環境下強行限制任意一位用戶進行安全登錄以避免系統管理員賬號以及密碼信息發生丟失下面就是具體的設置步驟
首先以系統管理員身份打開Windows Server 系統的開始菜單從中選擇運行命令在其後的系統運行框中輸入control userpasswords字符串命令單擊確定按鈕後進入本地服務器的用戶賬戶設置對話框
其次在該設置對話框中單擊用戶標簽選中對應標簽設置頁面中的要使用本機用戶必須輸入用戶名和密碼選項之後單擊高級標簽打開如圖所示的標簽設置頁面在該設置頁面的安全登錄設置項處選中要求用戶按Ctrl+Alt+Delete選項再單擊確定按鈕那樣一來任何一位用戶登錄Windows Server 系統之前都需要按下Ctrl+Alt+Delete復合鍵打開系統登錄對話框然後手工輸入系統管理員賬號才能登錄進本地服務器系統而此時手工輸入的系統管理員賬號名稱以及密碼是不會被模仿登錄登錄所竊取的
設置策略顯示賬號登錄狀態
不少用戶在實際工作過程中有時會遇到過這樣一則尴尬現象那就是當用戶有要事突然臨時離開自己的計算機系統時總有一些閒得沒事做的同事趁主人不在的時刻偷偷登錄進別人的計算機系統去隨意偷窺其中的隱私信息其實如果用戶的計算機系統中沒有存儲什麼特別重要的信息也就罷了要是保存有重要隱私信息並且這些牽涉到自己或者單位的核心機密內容被其他人偷看到的話那可能會給自己甚至單位造成不小的損失那麼對於那些喜歡偷窺別人隱私信息的人我們能否找到一種有效的辦法對他們的惡意偷窺行為進行監視一經發現這些非法用戶偷偷登錄自己的計算機系統時讓系統能夠自動對這種非法登錄行為進行記錄取證日後作為追究非法用戶責任的一種證據呢?其實很簡單我們可以在Windows Server 系統環境下通過設置系統的組策略參數來顯示上次登錄系統的所有登錄狀態信息這樣的話非法用戶偷偷登錄Windows Server 系統的行為就被跟蹤記錄下來了
首先以系統管理員身份登錄進Windows Server 服務器系統依次單擊開始/運行命令在彈出的系統運行文本框中輸入gpeditmsc字符串命令再單擊回車鍵後打開本地服務器系統的組策略編輯界面
其次用鼠標展開該組策略編輯界面左側顯示窗格中的計算機配置節點選項再從該節點下面依次單擊管理模板/Windows組件/Windows登錄選項子項找到Windows登錄選項子項下面的目標組策略選項在用戶登錄期間顯示有關以前登錄的信息用鼠標右鍵單擊該選項並執行右鍵菜單中的屬性命令打開如圖所示的組策略屬性設置對話框選中已啟動選項再點擊設置對話框中的確定按鈕結束組策略屬性設置操作這樣一來Windows Server 系統就能對上一次登錄系統的狀態信息進行自動記錄保存了
那麼日後要是有非法用戶趁我們不在計算機現場時偷偷登錄自己的系統時我們該怎樣才能查詢到本地系統是否已經被他人偷偷登錄過呢?其實很簡單我們可以按常規操作重新啟動計算機系統然後輸入正確的系統登錄賬號以及密碼信息再單擊確定按鈕隨後Windows Server 系統就會自動彈出一個簡要的系統登錄列表信息仔細檢查這裡是否存在陌生的登錄賬號名稱如果存在的話那個陌生登錄賬號就是非法偷窺本地系統隱私信息的非法用戶到時我們根據這點證據找到惡意用戶向他追究相關責任
自動報警謹防惡意創建賬號
在Windows Server 系統環境下上網沖浪時不小心可能就會碰到一些潛藏有惡意病毒或木馬的非法網頁這些惡意病毒或木馬往往會在後台偷偷地創建賬號信息日後非法攻擊者可能就會通過該惡意賬號來對Windows Server 系統進行非法攻擊那麼我們能否在第一時間內知道本地服務器中有新的賬號被創建然後根據賬號屬性信息快速判斷新賬號是惡意賬號呢?答案是肯定的我們可以利用Windows Server 系統新增加的事件綁定計劃任務功能為創建賬號事件綁定一個自動報警任務那樣一來一旦有新的用戶賬號在系統中創建時我們就能及時知道並能采取針對性措施進行應對了下面就是具體的實現步驟
首先需要指定Windows Server 系統對賬號創建事件進行審核確保賬號創建成功後我們能從系統的事件查看器程序中得到相關記錄在審核賬號管理事件時我們可以依次單擊開始/設置/控制面板命令然後在彈出的控制面板窗口中雙擊管理工具圖標再從管理工具列表窗口中雙擊本地安全策略圖標進入本地服務系統的安全策略控制台界面
在該控制台界面的左側顯示窗格中依次展開本地策略/審核策略分支選項雙擊該分支選項下面的審核賬戶管理選項在其後出現的審核賬戶管理屬性界面中選中成功項目再單擊確定按鈕那樣一來Windows Server 系統就會對本地每個賬戶管理事件進行自動審核包括創建用戶賬號刪除用戶賬號更改用戶賬號等操作每當這些操作成功時Windows Server 系統的事件查看器程序就會將這些操作自動記錄保存下來
接著需要指定一個創建賬號觸發事件到時我們就能將自動報警任務綁定在這個事件上了在創建用戶賬號時我們可以依次單擊開始/程序/服務器管理器選項在彈出的服務器管理器窗口左側列表區域中單擊配置選項然後選中該選項下面的本地用戶和組/用戶子項再右擊用戶子項並單擊快捷菜單中的新建用戶命令打開一個標題為用戶賬號創建設置對話框在該對話框中我們可以隨意新建一個用戶賬號最後單擊創建按鈕退出用戶賬號創建對話框
下面我們就能把自動報警任務綁定在創建賬號事件上了在進行綁定任務時我們可以先依次單擊開始/設置/控制面板命令然後逐一雙擊管理工具事件查看器圖標進入本地服務器系統的事件查看器管理界面在該管理界面的左側顯示窗格中將鼠標定位於Windows日志/安全節點選項上在安全節點選項右側顯示窗格中我們用鼠標選中之前已經創建好的用戶賬號事件並用鼠標右擊該目標事件選項
之後執行右鍵菜單中的將任務附加到此事件命令打開創建基本任務向導設置窗口單擊其中的下一步按鈕隨後屏幕上會出現一些提示信息根據這些提示信息我們可以確認這些信息的准確性要是發現它們都正確無誤時繼續單擊下一步按鈕這時系統將會打開如圖所示的向導設置界面選中該設置界面中的顯示消息選項再設置好相應的報警標題與內容比方說有新賬號突然創建請及時審查!最後單擊完成按鈕結束自動報警任務綁定設置操作
日後每當惡意程序在Windows Server 系統中偷偷創建非法用戶賬號時Windows Server 系統就會自動彈出警報窗口告訴網絡管理員有新賬號突然創建請及時審查!看到這樣的報警提示信息後網絡管理員一般就能立即知道Windows Server 系統中有非法賬號突然創建了到時網絡管理員再打開用戶賬號列表窗口進入新建用戶賬號的屬性界面根據相關屬性信息就能判斷新建用戶賬號究竟是不是惡意賬號了一旦確認新賬號是惡意賬號時網絡管理員必須立即強行將該賬號刪除掉以避免非法攻擊者利用該惡意賬號對Windows Server 系統進行惡意攻擊
巧妙備份妥善保管系統賬號
對於Windows Server 服務器系統來說保存在該系統中的用戶賬號可能有很多個如果Windows Server 系統意外發生崩潰的話那麼保存在該系統中的許多賬號可能就會發生丟失日後一旦Windows Server 系統恢復正常工作狀態時我們往往很難使用手工方法將之前創建的用戶賬號一一創建成功其實Windows Server 系統已經為我們提供了備份用戶賬號的功能巧妙地使用該功能我們可以在Windows Server 系統正常運行的時候將所有的用戶賬號信息備份保存到其他存儲介質中日後一旦發生賬號丟失或損壞現象時我們再利用Windows Server 系統用戶賬號還原功能快速將系統賬號信息恢復到原來正常狀態下面就是備份或還原用戶賬號信息的具體操作步驟
首先以系統管理員身份登錄進Windows Server 服務器系統依次單擊開始/運行命令在彈出的系統運行對話框中輸入字符串命令credwiz單擊確定按鈕打開如圖所示的備份或還原存儲的用戶名和密碼對話框
其次選中圖對話框中的備份存儲的用戶名和密碼選項再單擊下一步按鈕在其後界面中單擊備份到設置項處的浏覽按鈕從彈出的文件選擇對話框中設置好備份文件的保存路徑以及名稱信息再單擊保存按鈕這樣一來Windows Server 服務器系統中的所有賬號信息就會被自動備份到一個擴展名為crd的備份文件中了
日後一旦Windows Server 系統發生意外不能正常運行時我們可以先將服務器系統恢復正常之後再次運行credwiz命令打開如圖所示的備份或還原存儲的用戶名和密碼對話框選中其中的還原存儲的用戶名和密碼選項再將先前備份好的文件導入進來就能快速將系統賬號恢復正常了
From:http://tw.wingwit.com/Article/os/xtgl/201311/9098.html
