在平時(shí)管理、維護(hù)網(wǎng)絡(luò)的時(shí)候，為了提高管理維護(hù)效率，網(wǎng)管員往往會(huì)借助遠(yuǎn)程桌面、telnet登錄、VPN連接等方式，來(lái)進(jìn)行遠(yuǎn)程訪問(wèn)或控制操作。不過(guò)，在盡情享受遠(yuǎn)程訪問(wèn)便利的同時(shí)，也要警惕遠(yuǎn)程訪問(wèn)連接方式被惡意用戶利用，防止本地系統(tǒng)或網(wǎng)絡(luò)受到安全威脅。有鑒于此，本文現(xiàn)在就針對(duì)不同訪問(wèn)連接方式，提出切實(shí)可行的安全防護(hù)措施，確保遠(yuǎn)程訪問(wèn)操作不會(huì)受到非法威脅!
　　警惕遠(yuǎn)程桌面威脅
　　為了方便用戶進(jìn)行遠(yuǎn)程訪問(wèn)操作，Windows系統(tǒng)自帶了遠(yuǎn)程桌面連接功能，當(dāng)將本地系統(tǒng)的遠(yuǎn)程桌面連接功能成功啟用后，網(wǎng)管員就能在網(wǎng)絡(luò)的其他位置自由訪問(wèn)、控制本地計(jì)算機(jī)系統(tǒng)了。借助這項(xiàng)連接功能，網(wǎng)管員能實(shí)時(shí)地遠(yuǎn)程控制本地系統(tǒng)，進(jìn)行遠(yuǎn)程安裝程序、啟動(dòng)軟件操作，所有的操作效果幾乎與本地一樣，這么一來(lái)網(wǎng)管員就能隨時(shí)隨地遠(yuǎn)程控制單位網(wǎng)絡(luò)中的重要計(jì)算機(jī)系統(tǒng)了。
　　要享受遠(yuǎn)程桌面連接便利，必須先要在服務(wù)器端系統(tǒng)和客戶端系統(tǒng)同時(shí)啟用遠(yuǎn)程桌面連接功能。例如，要啟用Win7系統(tǒng)中的遠(yuǎn)程桌面連接功能時(shí)，可以先用鼠標(biāo)右鍵單擊系統(tǒng)桌面中的“計(jì)算機(jī)”圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，彈出計(jì)算機(jī)系統(tǒng)屬性管理界面，點(diǎn)擊左側(cè)區(qū)域中的“遠(yuǎn)程設(shè)置”標(biāo)簽，切換到如圖1所示的標(biāo)簽設(shè)置頁(yè)面，選中“允許運(yùn)行任意版本遠(yuǎn)程桌面的計(jì)算機(jī)連接”或“僅允許運(yùn)行使用網(wǎng)絡(luò)級(jí)別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接”選項(xiàng)，而后單擊“確定”按鈕，就能完成對(duì)應(yīng)系統(tǒng)遠(yuǎn)程桌面連接功能的啟用任務(wù)了。

 

 

　　一旦啟用了遠(yuǎn)程桌面連接功能，黑客、木馬也容易借用該功能威脅網(wǎng)絡(luò)中重要主機(jī)系統(tǒng)的安全，為此，我們一定要想辦法保護(hù)遠(yuǎn)程桌面連接的安全。
　　調(diào)整端口號(hào)碼
　　由于遠(yuǎn)程桌面連接功能默認(rèn)使用的3389端口號(hào)碼，被眾多黑客、木馬所熟悉，為了避免該功能被惡意用戶隨意使用，我們可以將該功能使用的端口號(hào)碼調(diào)整為一個(gè)不被外人熟悉的陌生號(hào)碼，以便降低遠(yuǎn)程桌面連接的安全威脅。例如，要將遠(yuǎn)程桌面端口號(hào)碼修改為2222時(shí)，可以按照如下步驟來(lái)操作：
　　首先打開(kāi)本地系統(tǒng)的“開(kāi)始”菜單，點(diǎn)選“運(yùn)行”選項(xiàng)，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“regedit”命令，切換到系統(tǒng)注冊(cè)表編輯界面；依次展開(kāi)該界面左側(cè)的HKEY LOCAL MACHIN E＼SYSTEM＼Current Control Set＼Control＼Terminal Server＼Win Stations＼KDP—Tcp目錄，將該目錄下的PortNumber鍵值由“3389”調(diào)整為“2222”；
　　其次展開(kāi)注冊(cè)表中HKEY-LOCALMACHINE＼SYSTEM＼Current Control Set＼Control＼Terminal Server＼Wds＼rdpwd＼Tds＼tcp目錄，將該目錄下的PortNumber鍵值由“3389”調(diào)整為“2222”，之后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)就能使上述設(shè)置生效了；
　　日后使用遠(yuǎn)程桌面連接功能遠(yuǎn)程訪問(wèn)本地計(jì)算機(jī)系統(tǒng)時(shí)，必須通過(guò)“IP地址：端口”方式來(lái)進(jìn)行。比方說(shuō)，筆者單位局域網(wǎng)中有一臺(tái)61.155.50.140的服務(wù)器，現(xiàn)在要在家中使用遠(yuǎn)程桌面連接功能遠(yuǎn)程控制該服務(wù)器，那就需要先打開(kāi)遠(yuǎn)程桌面連接對(duì)話框，在如圖2所示的地址框中輸入“61.155.50.140：2222”，這樣才能確保遠(yuǎn)程訪問(wèn)操作成功進(jìn)行。當(dāng)然，這種遠(yuǎn)程桌面連接方式與以往的連接方式，在速度和操作方面沒(méi)有任何差別，只是通過(guò)“2222”端口實(shí)現(xiàn)遠(yuǎn)程桌面連接的。
　　授權(quán)合法用戶
　　啟用了遠(yuǎn)程桌面連接功能后，計(jì)算機(jī)系統(tǒng)就好像人為地開(kāi)了一扇后門(mén)，任何用戶包括黑客此時(shí)都能偷偷混入進(jìn)來(lái)，對(duì)目標(biāo)計(jì)算機(jī)系統(tǒng)進(jìn)行一些非法操作。為了預(yù)防黑客等惡意用戶趁虛而入，我們有必要加強(qiáng)對(duì)遠(yuǎn)程桌面連接操作的授權(quán)，僅讓合法用戶才有資格使用這項(xiàng)功能，下面就是為合法用戶授權(quán)的具體步驟：
　　首先用鼠標(biāo)右鍵單擊系統(tǒng)桌面中的“計(jì)算機(jī)”圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，彈出計(jì)算機(jī)系統(tǒng)屬性管理界面，點(diǎn)擊左側(cè)區(qū)域中的“遠(yuǎn)程設(shè)置”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽設(shè)置頁(yè)面中的“遠(yuǎn)程桌面”位置處，點(diǎn)擊“選擇用戶”按鈕，打開(kāi)如圖3所示的設(shè)置對(duì)話框，將所有已經(jīng)存在的用戶賬號(hào)全部刪除掉；

　　其次按下“添加”按鈕，切換到用戶賬號(hào)選擇對(duì)話框，將合法用戶賬號(hào)依次選中并導(dǎo)入進(jìn)來(lái)，同時(shí)按“確定”按鈕執(zhí)行設(shè)置保存操作，這樣普通用戶將無(wú)法通過(guò)遠(yuǎn)程桌面連接功能對(duì)本地計(jì)算機(jī)系統(tǒng)進(jìn)行遠(yuǎn)程控制訪問(wèn)了，只有合法用戶才能使用這項(xiàng)功能成功訪問(wèn)本地系統(tǒng)。
　　強(qiáng)行身份驗(yàn)證
　　在Vista以上版本系統(tǒng)中，啟用“只允許運(yùn)行帶網(wǎng)絡(luò)級(jí)身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接(更安全)”功能，可以強(qiáng)行要求用戶進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證，以此增強(qiáng)遠(yuǎn)程桌面連接安全性。但是，Windows XP系統(tǒng)默認(rèn)不支持網(wǎng)絡(luò)身份驗(yàn)證功能，那樣一來(lái)通過(guò)遠(yuǎn)程桌面連接方式遠(yuǎn)程訪問(wèn)該系統(tǒng)時(shí)，受到的安全威脅就比較大。其實(shí)，在Windows XP系統(tǒng)中下載安裝SP3補(bǔ)丁包后，通過(guò)簡(jiǎn)單配置也能讓該系統(tǒng)支持網(wǎng)絡(luò)身份驗(yàn)證功能，下面就是具體的配置步驟：
　　首先打開(kāi)Windows XP系統(tǒng)的注冊(cè)表編輯窗口，展開(kāi)該窗口中的HKEY LOCALMACHIN E＼SYSTEM＼Current Control Set＼Control＼Lsa目錄，雙擊該目錄下的“Security Packages”鍵值，切換到編輯多字符串設(shè)置框，正確輸入“tspkg”字符，按“確定”按鈕返回；
　　其次將鼠標(biāo)定位到HKEY-LOCALMACHINE＼SYSTEM＼Current Control Set＼Control＼ServiceProvider目錄上，雙擊該目錄下的“SecurityProviders”鍵值，在彈出的數(shù)值數(shù)據(jù)框中正確輸入字符串“，credssp.dll”，再按“確定”按鈕保存設(shè)置操作；最后重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，這樣在遠(yuǎn)程桌面連接框的“關(guān)于”設(shè)置頁(yè)面中，我們就能看到“支持網(wǎng)絡(luò)級(jí)別的身份驗(yàn)證”功能選項(xiàng)了。
　　警惕telnet登錄威脅
　　telnet登錄命令是TCP／IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。它為用戶提供了在本地計(jì)算機(jī)上完成遠(yuǎn)程主機(jī)工作的能力，在客戶端系統(tǒng)中使用telnet命令登錄連接到遠(yuǎn)端的服務(wù)器，在本地系統(tǒng)輸入的命令能夠在服務(wù)器上自動(dòng)運(yùn)行，這種運(yùn)行效果就像直接在服務(wù)器上直接輸入一樣，這樣網(wǎng)管員就能在本地系統(tǒng)遠(yuǎn)程控制和操作遠(yuǎn)端的服務(wù)器主機(jī)了。
　　很多時(shí)候，為了提高網(wǎng)絡(luò)訪問(wèn)和控制效率，不少網(wǎng)管員常常會(huì)使用telnet登錄命令來(lái)遠(yuǎn)程管理與控制局域網(wǎng)中的重要主機(jī)系統(tǒng)。默認(rèn)狀態(tài)下，Windows 7系統(tǒng)是禁用telnet功能的，要想啟用這項(xiàng)功能時(shí)，可以依次單擊“開(kāi)始”I“控制面板”選項(xiàng)，逐一雙擊“程序和功能”I“打開(kāi)或關(guān)閉Windows功能”圖標(biāo)，在其后彈出的列表中將“telnet服務(wù)器”I“telnet客戶端”等選項(xiàng)選中(如圖4所示)，這樣telnet登錄功能就被成功啟用了。

　　不過(guò)在進(jìn)行telnet登錄操作時(shí)，也存在明顯的安全威脅：該命令默認(rèn)要用到Windows系統(tǒng)的23端口，而這個(gè)端口號(hào)碼一般也會(huì)被黑客惡意利用，所以可能會(huì)由此帶來(lái)一些安全麻煩；而且，telnet登錄功能幾乎都以明文方式在傳輸數(shù)據(jù)，這種傳輸方式很容易被黑客中途攔截。那么怎樣才能有效提升telnet登錄連接安全呢?很簡(jiǎn)單!可以將人人皆知的23端口號(hào)碼變成陌生的號(hào)碼，下面就是具體的端口號(hào)碼調(diào)整步驟：
　　首先依次單擊本地系統(tǒng)的“開(kāi)始”I“運(yùn)行”選項(xiàng)，在系統(tǒng)運(yùn)行框中執(zhí)行“cmd”命令，切換到DOS命令行窗口；在命令行提示符下，輸入字符串命令“tintadmn configport=122”(這里假設(shè)122為新的登錄端口)，按回車鍵后，本地系統(tǒng)的telnet登錄端口就被調(diào)整為122了。當(dāng)然，新設(shè)置的登錄端口號(hào)碼不能和本地系統(tǒng)中已開(kāi)啟的號(hào)碼相同，否則telnet登錄操作將會(huì)失效。經(jīng)過(guò)上述設(shè)置后，當(dāng)用戶想telnet登錄本地系統(tǒng)時(shí)，就需要在本地系統(tǒng)主機(jī)的IP地址后面加上“：122”，才能確保telnet連接操作的成功。
　　在安全要求較高的場(chǎng)合下，我們也可以選用支持加密功能的SSH連接替代telnet登錄連接，這是由于SSH連接在傳輸數(shù)據(jù)之前，會(huì)采用特殊算法加密數(shù)據(jù)，之后才會(huì)在網(wǎng)絡(luò)中傳輸，惡意用戶即使采取技術(shù)手段中途竊取到了這些數(shù)據(jù)，也無(wú)法發(fā)現(xiàn)其中的具體內(nèi)容，通過(guò)SSH連接能有效預(yù)防遠(yuǎn)程訪問(wèn)中的信息泄露問(wèn)題，而且也能夠防止DNS欺騙和IP欺騙。使用SSH連接，還有一個(gè)額外的好處，那就是在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快數(shù)據(jù)傳輸?shù)乃俣取?
　　警惕VPN連接威脅
　　為了便于移動(dòng)用戶訪問(wèn)單位內(nèi)部網(wǎng)絡(luò)資源，很多單位內(nèi)網(wǎng)都架設(shè)了VPN服務(wù)器，用戶通過(guò)VPN連接可以隨時(shí)隨地遠(yuǎn)程訪問(wèn)內(nèi)網(wǎng)資源。不過(guò)，VPN連接需要借助Internet傳輸通道才能完成，而且來(lái)自外網(wǎng)的訪問(wèn)操作要進(jìn)入單位內(nèi)網(wǎng)核心，這樣就需要解除許多限制，沒(méi)有了諸多的限制，那么一些安全威脅就可能通過(guò)VPN連接進(jìn)入單位內(nèi)網(wǎng)。為此，我們有必要采取相關(guān)安全措施，來(lái)保護(hù)VPN連接安全。
　　進(jìn)行日志跟蹤
　　為了及時(shí)發(fā)現(xiàn)VPN連接中的異常問(wèn)題，我們必須加強(qiáng)對(duì)這種連接操作進(jìn)行日志跟蹤記錄。一旦遇到不正?，F(xiàn)象時(shí)，只要打開(kāi)系統(tǒng)事件查看器，找到相關(guān)日志記錄，快速定位VPN連接的時(shí)間日期、目的地址、源地址，通過(guò)這些信息找到具體的故障原因。除了要對(duì)網(wǎng)絡(luò)登錄行為進(jìn)行監(jiān)控記錄外，還應(yīng)該盡可能地監(jiān)控連接會(huì)話信息。要是意外遇到安全事故時(shí)，那么可以利用的信息源就比較多，找到具體原因的速度就比較快。而且更為重要的是，倘若網(wǎng)絡(luò)中事先部署了預(yù)防監(jiān)控措施，那么日志記錄中的任何異?，F(xiàn)象，都能被網(wǎng)管員及時(shí)發(fā)現(xiàn)，這樣安全威脅程度將會(huì)始終處于可控狀態(tài)。
　　啟用安全策略
　　通常來(lái)說(shuō)，要是單位內(nèi)網(wǎng)允許用戶進(jìn)行遠(yuǎn)程訪問(wèn)操作，常常會(huì)對(duì)這些訪問(wèn)用戶應(yīng)用事先定義好的安全策略，確保遠(yuǎn)程訪問(wèn)操作不會(huì)威脅內(nèi)網(wǎng)安全。要是單位內(nèi)網(wǎng)使用了一些標(biāo)準(zhǔn)的操作系統(tǒng)，那么也必須要求遠(yuǎn)程訪問(wèn)用戶使用同樣的安全標(biāo)準(zhǔn)。例如，單位內(nèi)網(wǎng)要求每位員工都要安裝殺毒軟件，并且定期下載更新病毒數(shù)據(jù)庫(kù)，那么我們也要強(qiáng)制遠(yuǎn)程訪問(wèn)用戶滿足這些運(yùn)行要求。
　　加強(qiáng)安全認(rèn)證
　　警惕VPN連接威脅最有效的辦法，就是加強(qiáng)密碼認(rèn)證，因?yàn)樵诎踩砸筝^高的網(wǎng)絡(luò)環(huán)境中，密碼是一種十分有效的認(rèn)證形式，只有知道密碼的用戶，才能正常通過(guò)VPN連接進(jìn)行遠(yuǎn)程訪問(wèn)。目前VPN連接可以采用身份認(rèn)證技術(shù)、加解密技術(shù)、隧道技術(shù)、密鑰管理技術(shù)等來(lái)確保網(wǎng)絡(luò)連接安全，其中在用戶身份驗(yàn)證安全技術(shù)方面，VPN連接主要是通過(guò)PPP協(xié)議用戶級(jí)身份驗(yàn)證的方法來(lái)進(jìn)行驗(yàn)證，這些驗(yàn)證方法包括質(zhì)詢握手身份驗(yàn)證、密碼身份驗(yàn)證、可擴(kuò)展身份驗(yàn)證、Shiva密碼身份驗(yàn)證等。在數(shù)據(jù)加密和密鑰管理方面，VPN連接采用MPPE加密算法和IPSec機(jī)制加密上網(wǎng)數(shù)據(jù)，同時(shí)采用公、私密鑰對(duì)的方法管理密鑰內(nèi)容。