Win2008リモートコントロールセキュリティを確保するためのヒント

やや大きめのLAN環境では、ネットワーク管理者はリモートコントロールを使ってサーバや重要な作業ホストを管理することが多くあります。しかしながら、遠隔制御方法によって引き起こされるセキュリティ上の脅威はしばしば管理職員によって容易に見落とされている。サーバーのリモートコントロール操作のセキュリティを確保するために、この点でWindows Server 2008システムが特に強化され、多くの新しいセキュリティ機能が導入されましたが、一部の機能はデフォルトでは有効にならないため、独自の操作が必要です。システムは、Windows Server 2008サーバーシステムのセキュリティをリモート制御できるように正しく設定されています。 1.指定された担当者にのみリモートコントロールを許可する一般ユーザーがWindows Server 2008サーバーシステムを自由にリモートコントロールすることを許可されている場合、サーバーシステムのセキュリティを効果的に保証することは明らかに困難です。これを考慮して、Windows Server 2008サーバーシステムに適切な設定を行い、指定された担当者だけがリモートデスクトップ接続を介してリモート制御することを許可します。まず、Windows Server 2008サーバーシステムデスクトップを開きます。その後に表示される対応するSystem Server Managerコンソールウィンドウで、[プログラム]、[管理ツール]、[サーバーマネージャー]の順に展開するためのメニュー、左側の子ウィンドウをクリックします。グリッドで、[サーバー管理]ノードオプションを選択し、ターゲットノードブランチの[サーバーの概要]設定項目を選択し、[リモートデスクトップの設定]をクリックしてWindows Server 2008システムのリモートコントロールの設定ダイアログを開きます。ボックス;次に、設定ダイアログボックスの[リモートデスクトップ]ダイアログボックスの[ユーザーの選択]ボタンをクリックして、図1に示すように設定インターフェイスを開きます。これにより、Windows Server 2008サーバーシステムをリモートで配置できることがわかります。表示されたら、すべてのユーザーアカウントを制御します。変なユーザーアカウントまたは信頼できないユーザーアカウントがある場合は、それを選択して[削除]ボタンをクリックしてシステムから削除し、対応する設定インターフェイスの[追加]ボタンをクリックします。 [ユーザーアカウント設定]ダイアログボックスを開き、指定した管理者ユーザーアカウントを選択して追加し、[OK]ボタンをクリックしてユーザーアカウント設定操作を終了すると、Windows Server 2008サーバーシステムでは指定システムのみが許可されます。管理者は、他のユーザーにリモート管理を許可せずに、リモート管理操作を実行します。
図

2、まだシステムのログイン操作を完了するために、デフォルトで管理者アカウントを使用し、伝統的なサーバーオペレーティングシステムとWindows Server 2008のサーバーシステムを管理者の攻撃テストを拒否し、1の理由このように、Administratorアカウントは、いくつかの違法な攻撃者による使用に対して特に脆弱で、Administratorアカウントのパスワードをクラックしてサーバーにログインし、それをテストしようとします。不正な攻撃者による攻撃テストのためにAdministratorアカウントを使用することを拒否するために、Windows Server 2008サーバーシステムのデスクトップを次のように設定できます。まず、Windows Server 2008サーバーシステムのデスクトップをクリックし、[スタート]をクリックします。ポップアップ表示されるシステム実行テキストボックスに、「Secpol.msc」パラメータコマンドを入力してEnterキーをクリックすると、対応するシステムのローカルセキュリティグループポリシーコンソールウィンドウが開き、次にローカルセキュリティグループポリシーコンソールウィンドウの左側に表示されます。エリアを表示して、[セキュリティ設定]ノードオプションを選択し、ターゲットノードブランチの下にある[ローカルポリシー] /[セキュリティオプション]を選択して、対応する[セキュリティオプション]ブランチの下にあるターゲットを見つけます。セキュリティグループポリシー"アカウント：システム管理者アカウント名の変更"をクリックし、表示されるショートカットメニューから[プロパティ]コマンドを実行するための[グループポリシー]オプションを右クリックし、[アカウント：システム名の変更]を開きます。管理者アカウント - グループポリシー属性設定ペアダイアログボックスの[ローカルセキュリティ設定]タブをクリックして、図2に示すタブ設定ページを開きます。ここで、管理者アカウントの名前を他の人が推測しにくい名前に変更できます。たとえば、これを「guanliyuan」に変更し、最後に[OK]ボタンをクリックして上記の設定を保存すると、不正な攻撃者がAdministratorアカウントを介してWindows Server 2008サーバーシステムを攻撃しようとします。成功すれば、サーバーシステムのセキュリティパフォーマンスは効果的に保証されます。
図
2

3、プログラムがサーバシステムに直接統合されているため、telnetポートセキュリティリモート接続telnetコマンドは、Windows Server 2008のサーバーシステムのデフォルトのtelnetプログラムで修正し、使用するのが便利であるので、ネットワーク管理者はしばしばサーバを管理するときにこのプログラムを使います。ただし、telnetコマンドを使用してサーバーシステムをリモート制御する場合、制御情報はネットワーク上で平文で送信されることが多く、悪意のある攻撃者はアカウント名やパスワードなどの制御情報を簡単に傍受することができます。 telnetプログラムの認証方法にも明らかな弱点があります。つまり、他人による攻撃に対して特に脆弱です。 Windows Server 2008サーバーシステムのリモート制御のためのtelnetコマンドを考えると、デフォルトのネットワークポートは一般に自動的に使用され、ポートはだれにでもよく知られています。他のユーザーがtelnetコマンドを使用してサーバーシステムをリモート制御できないように、プログラムのデフォルトネットワークポート番号を次のように変更します。最初にWindows Server 2008サーバーシステムのデスクトップをクリックし、[スタート]ボタンをクリックします。 'コマンド、ポップアップシステム実行テキストボックスに、' cmd'文字列コマンドを入力して、Enterキーをクリックし、対応するシステムDOSコマンドライン作業ウィンドウを開きます;次に、DOSウィンドウコマンドラインプロンプトで、新しく設定したネットワークポート番号がシステムの既存のポート番号と競合しないようにするには、文字列コマンド<; tlntadmn config port = 2991< 2991>が変更後の新しいポート番号です）を入力します。新しいポート番号をに設定することはできません。システムサービスのポート番号を確認し、上記の文字列コマンドが正しく入力されたことを確認した後、Enterキーをクリックすると、telnetコマンドで使用されるポート番号が自動的に「2991」に変わります。この番号を使用して、このプログラムを使用してWindows Server 2008サーバーシステムをリモート制御することができます。もちろん、サーバーサイトのWindows Server 2008サーバーシステムのtelnetポート番号をリモートで変更することもできます｡ローカルクライアントシステムのDOSコマンドライン作業ウィンドウを開き、ウィンドウのコマンドプロンプトでstringコマンドを入力するだけです。 < tlntadmn> config server port = 2991 -u xxx-p yyy'（Serverはリモートサーバーシステムのホスト名またはIPアドレス、port = 2991は変更するリモートログインポート番号、xxxはログインサーバーシステムのユーザー名、 Yyyは、ユーザーアカウントに対応するパスワードですEnterキーをクリックすると、リモートサーバーシステムのtelnetポート番号は「2991」になります4. Windows Server 2008サーバーシステムのリモートログインパスワードがブルートフォースクラッキングされるのを防ぐための複雑なパスワードの使用設定が複雑でないと、不正なリモートユーザーがログインパスワードを不正に解読する可能性があるため、多くのネットワーク管理者はサーバーシステムのリモートログインパスワードを設定してメモリを節約しています。単純です、これは見えませんこのため、Windows Server 2008サーバーシステムで次の設定を有効にして、ユーザーに強制的にシステムに付属のパスワードポリシーを有効にさせることができます。リモートコントロールアカウントには、もっと複雑なパスワードを設定する必要があります。まず、Windows Server 2008サーバーシステムのデスクトップをクリックし、システム管理が表示された後、[スタート]>; [プログラム]' [管理ツール]コマンドをクリックします。ツールリストウィンドウで、マウスの「ローカルセキュリティポリシー」アイコンをダブルクリックして対応するシステムのローカルセキュリティ設定ダイアログボックスを開き、次に設定ダイアログボックスの左側の領域を表示し、マウスで「アカウント戦略」を選択します。 'ブランチオプションを選択してから、ターゲットブランチオプションの下の[パスワードポリシー]サブアイテムを選択し、対応する[パスワードポリシー]サブアイテムの右側にある領域を表示すると、パスワードの6つの設定方法がわかります。オプションは、マウスでそれをダブルクリックし、パスワードは複雑さと一致する必要があります性的要件 - グループポリシーオプション、図3に示す[ターゲットグループポリシー属性設定]ウィンドウを開く; [既に有効]オプションが選択されているかどうかを確認し、オプションが選択されていないことが判明した場合再選択し、[OK]ボタンをクリックして上記の設定を保存すると、Windows Server 2008サーバーシステムのリモートログインパスワードが複雑にならないように、関連するプロンプトが自動的に表示されます。
<次に、[パスワードの履歴を強制]、[最後のパスワードの長さ]、[回復可能な暗号化を使用してパスワードを復元する]、[最後のパスワードの使用期間]、および[最後のパスワードの使用期間]をクリックします。最小パスワード使用期間とその他のオンデマンド変更方法、そして最後に[OK]ボタンをクリックしてすべての設定を完了するので、リモートログインパスワードを複雑に設定する必要があります。

図3