注册表让服务器远程访问更安全

　　文/逢逢

　　为了更高效地管理好服务器，不少系统管理员都开通了远程访问功能，这样的话许多管理维护操作就不需要到服务器现场进行了。可是，一旦开通了远程访问功能，那么服务器的安全就可能会受到一定的影响；为此，本文下面通过修改注册表的方法，来确保服务器远程访问更安全：

　　1、拒绝创建新的局域网连接
 
　　大家知道，如果允许非法用户在自己的Windows 2000服务器中，随意创建新的局域网连接的话，那么本地服务器的安全将受到威胁，因为非法用户就能通过自己创建的局域网连接“通道”，来对本地服务器进行远程非法攻击了。为此，你可以通过下面的方法，来阻止普通帐号下的用户，随意在本地服务器中创建新的局域网连接组件，从而实现拒绝创建新的远程连接通道的目的：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮之后，在随后弹出的注册表编辑窗口中，将鼠标定位于注册表分支HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Network Connections上，如图1所示；

图1

　　在对应Network Connections注册表分支的右边子窗口中，用鼠标右键单击空白区域，从弹出的快捷菜单中依次执行“新建”/“双字节值”命令，并将新创建的双字节值名称设置为“NC_AddRemoveComponents”，再用鼠标双击“NC_AddRemoveComponents”项目，在弹出的数值设置窗口中，输入“0”，再单击“确定”按钮，最后按下F5功能键来刷新一下系统注册表，这样就能使上述设置生效了。

　　为了防止非法用户随意修改已经创建好的局域网连接组件的属性，导致已经创建好的局域网连接组件不能使用，你可以在对应Network Connections注册表分支的右边子窗口中，再分别创建一个名为“NC_LanChangeProperties”、“NC_RasChangeProperties”的双字节值，并将它们的数值都设置为“0”，最后单击“确定”按钮，并刷新一下系统注册表。

　　2、拒绝新用户与服务器连接

　　也许你的Windows XP终端服务器允许多个客户同时与之远程保持连接，可是在实际连接的过程中，有时为了保证每个远程连接的传输速度都很快捷，你需要在服务器保持活动状态的前提下，阻止其他的新用户继续与服务器保持连接，要实现这样的目的，你可以按照如下步骤来进行操作：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮之后，在随后弹出的注册表编辑窗口中，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上，如图2所示； 

图2

　　在对应Terminal Services注册表分支的右边子窗口中，用鼠标右键单击空白区域，从弹出的快捷菜单中依次执行“新建”/“DWORD值”命令，并将新创建的双字节值名称设置为“fDenyTSConnetions”，再用鼠标双击“fDenyTSConnetions”项目，在弹出的数值设置窗口中，输入“1”，再单击“确定”按钮，那么系统的终端服务器就能在不断开已有连接的前提下，拒绝新的用户与服务器进行连接了，要是你将“fDenyTSConnetions”项目的数值设置为“0”，那么系统的终端服务器就能允许多个新的用户与之连接了。

　　3、阻止用户维持多个远程会话

　　Windows XP系统的终端服务器在缺省状态下，可以允许每一个远程连接用户同时保持多个远程会话，并为每一个远程会话维持任意长的时间；不过这样一来，系统的终端服务器运行效率就会受到影响。为此，你可以通过下面的方法，来阻止用户维持多个远程会话，确保每一个远程连接用户只能在终端服务器保持一个远程会话：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮之后，在随后弹出的注册表编辑窗口中，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上；

　　在对应Terminal Services注册表分支的右边子窗口中，用鼠标右键单击空白区域，从弹出的快捷菜单中依次执行“新建”/“DWORD值”命令，并将新创建的双字节值名称设置为“fSingleSessionPerUser”，再用鼠标双击“fSingleSessionPerUser”项目，在弹出的数值设置窗口中，输入“1”（如图3所示），再单击“确定”按钮，那么系统的终端服务器日后就会对远程连接用户的会话数目进行限制，确保每一个用户只能保持一个会话。

图3

　　如果你将“fSingleSessionPerUser”项目的数值设置为“0”的话，那么系统的终端服务器就会对远程连接用户的会话数目不进行任何限制。

　　4、拒绝远程访问共享端口

　　大家知道Windows 2000服务器中的并行端口、串行端口等设备，通常都安装有类似网络打印机之类的共享设备，在默认状态下，服务器允许任意用户远程访问这些共享端口。不过为了保证服务器的安全，你最好还是禁止普通用户远程访问它们，以防止非法用户通过它们攻击服务器；下面就是拒绝普通帐号下的用户，远程访问共享端口的具体操作：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮之后，在随后弹出的注册表编辑窗口中，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\System\currentControlSet\Control\Session Manager上；

　　在对应Session Manager注册表分支的右边子窗口中，用鼠标右键单击空白区域，从弹出的快捷菜单中依次执行“新建”/“双字节值”命令，并将新创建的双字节值名称设置为“ProtectionMode”，如图4所示，再用鼠标双击“ProtectionMode”项目，在弹出的数值设置窗口中，输入“1”，再单击“确定”按钮，并将服务器系统重新启动一下，如此一来服务器就只能允许系统管理员来访问和管理这些共享端口了。　　

 如果您对本文有任何疑问或者建议，请到讨论区发表您的意见: >> 论坛入口 <<