伺服器遠端的安全管理辦法

一、嚴密設定加強帳戶安全

1、帳戶改名

Administrator和guest是Server 2003預設的系統帳戶，正因如此它們是最可能被利用，攻擊者透過破解而登入伺服器。對此，我們可以透過為其改名進行防範。

administrator改名：“開始→執行”，在其中輸入Secpol.msc回車開啟本地安全組策略，在左側窗格中依次展開“安全設定→本地策略 →安全選項”，在右側找到並雙擊開啟“帳戶：重新命名系統管理員帳戶”，然後在其中輸入新的名稱比如gslw即可。

guest改名：作為伺服器一般是不開啟guest帳戶的，但是它往往被入侵者利用。比如啟用guest後將其加入到管理員組實施後期的控制。我們透過改 名可防止類似的攻擊，改名方法和administrator一樣，在上面的組策略項下找到“帳戶：重新命名來賓帳戶”，然後在其中輸入新的名稱即可。

2、密碼策略

密碼策略作用於域帳戶或本地帳戶，其中就包含以下幾個方面：強制密碼歷史，密碼最長使用期限，密碼最短使用期限，密碼長度最小值，密碼必須符合複雜性要求，用可還原的加密來

儲存

密碼。

對於本地計算機的使用者帳戶，其密碼策略設定是在“本地安全設定”管理工箇中進行的。下面是具體的配置方法：執行“開始→管理工具→本地安全策略”開啟 “本地安全設定”視窗。開啟“使用者策略”選項，然後再選擇“密碼策略”選項，在右邊詳細資訊視窗中將顯示可配置的密碼策略選項的當前配置。然後雙擊相應的 項開啟“屬性”後進行配置。需要說明的是，“強制密碼歷史”和“用可還原的加密來儲存密碼”這兩項密碼策略最好保持預設，不要去修改。

3、帳戶鎖定

當伺服器帳戶密碼不夠“強壯”時，非法使用者很容易透過多次重試“猜”出使用者密碼而登入系統，存在很大的安全風險。那如何來防止駭客猜解或者伺服器密碼呢?

其實，要避免這一情況，透過組策略設定帳戶鎖定策略即可完美解決。此時當某一使用者嘗試登入系統輸入錯誤密碼的次數達到一定閾值即自動將該帳戶鎖定，在帳戶鎖定期滿之前，該使用者將不可使用，除非管理員手動解除鎖定。其設定方法如下：

在開始選單的搜尋框輸入“Gpedit.msc”開啟組策略物件編輯器，然後依次點選定位到“計算機設定→

Windows

設定→安全設定→帳戶策略→帳戶鎖定策略”策略項下。雙擊右側的“帳戶鎖定閾值”，此項設定觸發使用者帳戶被鎖定的登入嘗試失敗的次數。該值在0到999之間，預設為0表示登入次數不受限制。大家可以根據自己的安全策略進行設定，比如設定為5。