二、严密部署，加强系统远程工具的安全性

　　1、“远程桌面”的安全措施

　　远程桌面是比较常用的服务器管理方式，但是开启“远程桌面”就好像系统打开了一扇门，人可以进来，苍蝇蚊子也可以进来。所以要做好安全措施。

　　(1).限制可登录的帐户

　　点击“远程桌面”下方的“选择用户”按钮，然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户，或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险，管理员一定要严格控制可登录的帐户。

　　(2).更改默认端口

　　远程桌面默认的连接端口是3389，攻击者就可以通过该端口进行连接尝试。因此，安全期间要修改该端口，原则是端口号一般是1024以后的端口，而且不容易被猜到。更改远程桌面的连接端口要通过注册表进行，打开注册表编辑器，定位到如下注册表项：

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

　　分别将其右侧PortNumber的值改为其它的值比如9833，需要说明的是该值是十六进制的，更改时双击PortNumber点选“十进制”，然后输入9833。

　　2、加强Telnet连接的安全

　　Telnet是命令行下的远程登录工具，因为是系统集成并且操作简单，所以在服务器管理占有一席之地。因为它在网络上用明文传送口令和数据，别有用心的人非常容易就可以截获这些口令和数据。而且，这些服务程序的安全验证方式也是有其弱点的，就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。，并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。

　　(1).修改默认端口

　　本地修改2003服务器的telnet端口方法是:“开始→运行”输入cmd打开命令提示符，然后运行命令“tlntadmn config port=800”(800是修改后的telnet端口，为了避免端口冲突不用设置成已知服务的端口。

　　当然，我们也可以远程修改服务器的telnet端口，在命令提示符下输入命令“tlntadmn config \\192.168.1.9 port=800 -u gslw -p test168 ”(\\192.168.1.9对方IP，port=800要修改为的telnet端口，-u指定对方的用户名，-p指定对方用户的密码。

　　(2).用SSH替代Telnet

　　SSH(Secure Shell)，它包括服务器端和客户端两部分。SSH客户端与服务器端通讯时，用户名和密码均进行了加密，这就有效地防止了他人对密码的盗取。而且通信中所传送的数据包都是“非明码”的方式。更重要的是它提供了图形界面，同时也可以在命令行(shell)下进行操作。

　　3、加强VPN连接的安全

　　适应信息化和移动办公的需要，很多企业都部署了VPN服务器。而采用基于Windows Server 2003的“路由和远程访问”服务搭建的VPN不失为一种安全、方便的远程访问解决方案，也是当前大多数中小型企业的首选。VPN的安全威胁就来自这条线路之外，即Internet为VPN服务器配置PPTP数据包筛选器，是个比较有效的办法。其原则是，赋予接入VPN的客户端最少特权，并且丢弃除明确允许的数据包以外的其它所有数据包。

　　(1).快速部署VPN

　　在windows2003中“路由和远程访问”，默认状态已经安装。只需对此服务进行必要的配置使其生效即可。依次选择“开始”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名，选择“配置并启用路由和远程访问”。在出现的配置向导窗口点下一步，进入服务选择窗口。如果你的服务器只有一块网卡，那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的，如果你服务器有两块网卡，则可有针对性的选择第一项或第三项。然后一路点击下一步即可开始VPN服务。

　　(2).部署IPSEC数据包过滤

　　配置输入筛选器：只允许来自PPTP VPN客户端的入站通信，操作如下：

　　第一步：依次执行“开始→程序→管理工具”，打开“路由和远程访问”窗口。在其控制台的左侧窗口依次展开“服务器名(本地)→IP路由选择”，然后单击“常规”在右侧窗格中双击“本地连接”，打开“本地连接属性”对话框。

　　第二步：在“常规”选项卡中单击“入站筛选器”，然在打开的“入站筛选器”对话框中点击“新建”按钮，打开“添加IP筛选器”对话框。勾选“目标网络”复选框，在“IP地址”编辑框中键入该外部接口的IP地址，在“子网掩码”编辑框中键入“255.255.255.255”，在“协议”框下拉菜单中选中“TCP”协议，在弹出的“目标端口”框中键入端口号“1723”，然后单击“确定”按钮。

　　第三步：回到“入站筛选器”对话框，点选“丢弃所有的包，满足下列条件的除外”单选框，然后反单击“新建”按钮，勾选“目标网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址，在“子网掩码”编辑框中键入“255.255.255.255”，在“协议”框下拉菜单中选中“其他”，在“在协议号”框中键入“47”，最后依次单击“确定”按钮完成设置。

　　配置输出筛选器：配置PPTP输出筛选器，其目的是只允许到达PPTP VPN客户端的出站通信，操作如下：

　　第一步：在“路由和远程访问”窗口打开外部接口属性对话框，然后在“常规”选项卡中单击“出站筛选器”按钮，在打开的“出站筛选器”窗口中单击“新建”按钮，打开“添加IP筛选器”对话框。勾选 “源网络”复选框，在“IP地址”编辑框中键入该外部接口的IP地址，子网掩码为“255.255.255.255”，指定协议为“TCP”，并指定“源端口”号为“1723”，单击“确定”按钮。

　　第二步：回到“出站筛选器”对话框，点选“丢弃所有的包，满足下列条件的除外”单选框。然后单击“新建”按钮，勾选“源网络”复选框。在“IP地址”编辑框中键入该外部接口的IP地址，“子网掩码”为“255.255.255.255”，在“协议”框下拉菜单中选中“其他”，指定“协议号”为“47”，最后依次单击“确定”按钮完成设置。

　　“1723”端口是VPN服务器默认使用的端口，而“47”则代表TCP协议。完成上述设置后，就只有那些基于PPTP的VPN客户端可以访问VPN服务器的外部接口了，这样就极大地加固了VPN的安全性。

　　总结：本文基于系统谈了从帐户管理和登录工具方面加强远程登录的安全性，文中涉及的登录工具都是系统集成的。当然，在实际应用中管理员们也许会选择第三方的远程管理工具，但是不管怎么样，一定要做好安全部署。远程控制是“双刃剑”，方便了管理员也为攻击者提供了便利，把好这道门是至关重要的。