帷幄

在平时的网络运维过程中，善于使用远程登录，可以大大提升工作效率。不过，经常使用的远程桌面连接、Telnet连接、VPN连接等远程登录方式，都有先天性的不足，如果对其不加以重视，它们可能会带来安全麻烦。有鉴于此，我们需要采取措施，对它们进行安全防护，确保远程登录不给网络运维惹来安全麻烦！

谨防远程桌面惹麻烦

大家知道，当将某台网络终端主机的远程桌面连接功能开启成功后，就能在网络的其他位置控制这台终端主机。使用远程桌面连接，能够很方便地对该终端主机进行任意操作，其操作效果就像在本地一样，网络运维人员经常会用该功能，远程管理与控制局域网中的重要主机系统。不过，远程桌面功能的启用，会打开终端主机系统的3389端口，该端口常常是黑客、木马重点盯梢的对象。

为了防止远程桌面连接惹来安全麻烦，我们必须将3389端口修改为一个不被人所知的端口号码，下面就是具体的修改步骤：逐一点击“开始”、“运行”选项，弹出系统运行对话框，在其中执行“regedit”命令，开启系统注册表编辑器运行状态。在该编辑窗口的左侧显示窗格中，依次跳转到“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼WinStations＼RDP-Tcp”注册表节点上。

选中目标节点下的“PortNumber”键值，用鼠标双击之，展开如图1所示的编辑键值对话框，在这里我们看到它的默认数值为3389，此时输入一个新的端口号码，该号码一定不能与本地计算机已经开启的端口号码相同，假设它为5687，确认后保存设置操作。

将鼠标重新定位到“HKEY-LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp”注册表节点上，将目标节点下的PortNumber键值也修改为上面的5687，并重新启动计算机系统，让上述设置正式生效。

日后合法用户需要与本地计算机建立远程桌面连接时，需要通过“IP地址：5687”的方式，才能保证远程登录成功，不知道新端口的用户是无法与本地系统建立远程桌面连接的。比方说，单位某台服务器的IP地址为10.176.0.6，在局域网或其他位置与之建立远程桌面连接时，需要将远程连接地址设置成“10.176.0.6：5687”，才能保证远程登录成功。

此外，我们也可以采用授权的方法，只让合法用户有权使用远程桌面连接。在进行授权时，可以先用鼠标右键单击“我的电脑”图标，单击快捷菜单中的“属性”命令，进入系统属性对话框，选择“远程”标签，在对应标签页面中按下“选择用户”按钮，再单击“添加”按钮，选中并导人合法用户账号，确认后保存设置即可。

还有一点要注意的是，很多黑客工具常常喜欢使用administrator账号，来暴力破解服务器系统登录密码，如果禁止该账号进行远程桌面Web连接，另外创建其他的复杂管理员账户来执行远程Web连接任务，那么连接安全性就能明显增强。在禁止administrator用户使用远程桌面连接时，可以按照下面的步骤来操作：首先以管理员权限登录服务器系统，依次单击“开始”“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令，单击“确定”按钮，切换到系统组策略编辑界面。其次从该界面左侧树形结构图中，依次展开“本地计算机策略”“计算机配置”“Windows设置”“安全设置”“本地策略”“用户权限分配”分支选项，找到该分支下的“通过终端服务允许登录”组策略，并用鼠标双击之，打开对应组策略属性对话框，从中删除Administrators账号，再添加另外创建的管理员账号名称，确认后保存设置操作即可。

谨防Telnet连接惹麻烦

Windows系统默认会支持Telnet登录功能，借助该功能我们可以轻松登录进入远端Telnet服务器，对其进行类似在服务器控制台上的操作。正常来说，为了提升网络管理效率，很多网管员还是很乐意选用Telnet方式，对重要主机进行管理和维护的。可是，Telnet登录功能在远程管理维护重要主机时，存在很大的安全隐患，它会用到众所周知的23端口，而该端口也是黑客重点关注的对象。

那么怎样才能预防黑客利用Telnet登录功能的23端口，对网络或主机发动恶意攻击呢？很简单！强制该功能使用一个陌生的端口号码即可。例如，要将Telnet登录功能使用的端口号码，修改为陌生的1003号码时，可以逐一点击“开始”“运行”选项，弹出系统运行对话框，输入“cmd”命令并回车，弹出MS-DOS工作窗口，在该窗口命令提示符下，输入“tlntadmn config port=1003”命令，如图2所示，这样本地计算机的Telnet功能端口就变成“1003”了。当然，使用的默认端口号码，一定不能和已知处于运行状态的端口号码一致，否则的话Telnet登录功能将无法发挥作用。

日后，当我们尝试使用Telnet命令，远程登录连接本地计算机时，必须在本地计算机的IP地址或主机名称后面添加“：1003”，才能保证远程登录连接成功。这时，黑客或恶意用户将无法利用Telnet登录功能进行非法破坏了。

另外，Telnet远程登录操作基本都以明文方式传输数据，这容易造成数据传输发生泄密现象。为了避免这种现象，我们还可以使用支持加密功能的ssH连接替代Telnet远程连接，因为SSH登录连接在传输信息时，会以加密形式对远程登录会话数据和其他通信内容提供安全性协议，恶意用户即使通过技术措施中途窃取到了传输数据，也不能查看到具体的内容。

谨防VPN连接惹麻烦

为了便于移动办公，很多网管员都在单位内网安装了VPN服务器，单位员工通过VPN连接，就可以在因特网的任何角落处，远程浏览局域网内部重要资源。不过，VPN连接由于要深入到单位内网环境中，因此引起的许多安全隐患，还没有得到每一位网络管理员的高度重视。另外，为了保证连接顺利，网管员取消了许多针对VPN连接的限制，这也容易被黑客非法利用。所以，我们可以采取下面的技术措施，来谨防VPN连接惹麻烦。

一是扩展安全策略

正常情况下，要是单位网络管理员允许普通权限的用户远程访问，那需要创建合适的安全策略，以限制远程用户的自由访问。要是单位已经启用了一些特定系统环境下的安全防范标准，那么必须让这些安全防范标准同时适用于远程连接用户。例如，单位内网环境要求员工必须使用最新版本的杀毒软件和防火墙程序，那么VPN连接用户也需要做到这一点。

二是进行密码和安全认证

VPN连接访问的重点是围绕密码进行的，在访问受限的工作环境中，登录密钥是一种有效的身份认证形式。在安装有证书服务器的环境下，使用数字证书认证，更能保护VPN连接的安全性。此外，智能卡也越来越多地被用于身份认证，不少单位或许已经拥有一些特定形式的智能卡标记系统，允许员工通过VPN连接进入单位内网环境中，也可以通过这些智能卡标记作为一种远程认证手段。

三是强制加密传输数据

为了保证数据传输安全，我们可以对VPN服务器进行合适设置，强制其检查数据传输是否采取了加密措施，如果没有的话，就自动断开远程连接。在VPN终端计算机中，依次单击“开始”“设置”“网络连接”命令，进入网络连接列表窗口，从中找到“虚拟专用网络”下的VPN连接，用鼠标右键点击该连接图标，执行右键菜单中的“属性”命令，弹出VPN连接属性对话框。选择“安全”选项卡，在对应选项设置页面中，将“要求数据加密（没有就断开）”选项取消选中即可。

四是使用日志加强监控

与其他远程连接相同，VPN连接必须要开启日志记录功能。要是出现意外的话，系统管理员能够通过观察日志记录，来判断VPN连接建立的时间和日期，从而方便陕速定位安全隐患。此外，在运行预防监控的网络环境中，出现在系统日志文件中的任何异常，都能被网络管理员在第一时间发现，这有利于管理员及时采取措施，排除VPN连接安全隐患。

五是控制VPN服务器身份验证登录次数

当尝试登录次数超过规定数值时，强行将用户计算机的IP地址自动锁定起来，让其在特定时间段内无法继续登录访问服务器中的内容，以保护它的运行安全。在控制验证登录次数时，可以依次单击服务器系统中的“开始”“运行”命令，弹出系统运行对话框，输入“gpedit.msc”命令，单击“确定”按钮，切换到系统组策略编辑界面。其次在该界面左侧列表中，将鼠标定位到“本地计算机策略”“计算机配置”“Windows设置”“安全设置”“账户策略”“账户锁定策略”分支选项上，用鼠标双击该分支下的“账户锁定阈值”组策略，在弹出如图3所示的组策略属性对话框中，输入数字“3”，也就是3次无效登录后，就强行将用户IP地址锁定起来，在之后的一段时间内不让该用户继续尝试登录。按照同样的操作方法，再设置好“账户锁定时间”，限制对方用户在无效登录后多长时间，才能继续尝试登录服务器。之后设置好“复位账户锁定计数器”组策略，指定服务器系统在多长时间后，自动复位“账户锁定阈值”，该数值一定不能大于“账户锁定时间”。