如何保证远程登录服务器安全

好久没上来了，今天公司的服务器把远程桌面开了，一晚上过去后看事件日志很多尝试登录的，上网找了下解决方案比较好的就记录一下以后备用。

一、严密设置加强帐户安全

　　1、帐户改名

　　Administrator和guest是Server 2003默认的系统帐户，正因如此它们是最可能被利用，攻击者通过破解密码而登录服务器。对此，我们可以通过为其改名进行防范。

　　administrator改名：“开始→运行”，在其中输入Secpol.msc回车打开本地安全组策略，在左侧窗格中依次展开“安全设置→ 本地策略→安全选项”，在右侧找到并双击打开“帐户：重命名系统管理员帐户”，然后在其中输入新的名称比如gslw即可

guest改名：作为服务器一般是不开启guest帐户的，但是它往往被入侵者利用。比如启用guest后将其加入到管理员组实施后期的控制。我们通过改 名可防止类似的攻击，改名方法和administrator一样，在上面的组策略项下找到“帐户：重命名来宾帐户”，然后在其中输入新的名称即可。

　　2、密码策略

　　密码策略作用于域帐户或本地帐户，其中就包含以下几个方面：强制密码历史，密码最长使用期限，密码最短使用期限，密码长度最小值，密码必须符合复杂性要求，用可还原的加密来存储密码。

　　对于本地计算机的用户帐户，其密码策略设置是在“本地安全设置”管理工个中进行的。下面是具体的配置方法：执行“开始→管理工具→本地安全策略 ”打开“本地安全设置”窗口。打开“用户策略”选项，然后再选择“密码策略”选项，在右边详细信息窗口中将显示可配置的密码策略选项的当前配置。然后双击 相应的项打开“属性”后进行配置。需要说明的是，“强制密码历史”和“用可还原的加密来储存密码”这两项密码策略最好保持默认，不要去修改。

3、帐户锁定

　　当服务器帐户密码不够“强壮”时，非法用户很容易通过多次重试“猜”出用户密码而登录系统，存在很大的安全风险。那如何来防止黑客猜解或者爆破服务器密码呢?

　　其实，要避免这一情况，通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定，在帐户锁定期满之前，该用户将不可使用，除非管理员手动解除锁定。其设置方法如下：

　　在开始菜单的搜索框输入“Gpedit.msc”打开组策略对象编辑器，然后依次点击定位到“计算机设置→Windows设置→安全设置→帐户策略→帐户锁定策略”策略项下。双击右侧的“帐户锁定阈值”，此项设置触发用户帐户被锁定的登录尝试失败的次数。该值在0到999之间，默认为0表示登录次数不受限制。大家可以根据自己的安全策略进行设置，比如设置为5。(

二、安全登录服务器

　　1、远程桌面

　　远程桌面是比较常用的服务器管理方式，但是开启“远程桌面”就好像系统打开了一扇门，人可以进来，苍蝇蚊子也可以进来。所以要做好安全措施。

　　(1).用户限制

　　点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。

(2).更改端口

　　远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行，打开注册表编辑器，定位到如下注册表项：

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp

　　分别将其右侧PortNumber的值改为其它的值比如9833，需要说明的是该值是十六进制的，更改时双击PortNumber点选“十进制”，然后输入9833。

2、telnet连接

　　telnet是命令行下的远程登录工具，因为是系统集成并且操作简单，所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别 有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the- middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

　　(1).修改端口

　　本地修改2003服务器的telnet端口方法是:“开始→运行”输入cmd打开命令提示符，然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口，为了避免端口冲突不用设置成已知服务的端口。)

当然，我们也可以远程修改服务器的telnet端口，在命令提示符下输入命令“tlntadmn config 192.168.1.9 port=800 -u gslw -p test168 ”(192.168.1.9对方IP，port=800要修改为的telnet端口，-u指定对方的用户名，-p指定对方用户的密码。)

(2).用SSH替代Telnet

　　SSH(Secure Shell)，它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时，用户名和密码均进行了加密，这就有效地防止了他人对密码的盗取。而且通信中 所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面，同时也可以在命令行(shell)下进行操作。