注册表让服务器远程访问更安全

　　5、阻止远程删除桌面墙纸

　　如果你不希望非法用户随意将远程桌面中的墙纸强行删除的话，那么你只要按照如下步骤来操作就可以了：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮后，打开系统的注册表编辑界面，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上；

　　在对应Terminal Services注册表分支的右边子窗口中，用鼠标右键单击空白区域，从弹出的快捷菜单中依次执行“新建”/“DWORD值”命令，并将新创建的双字节值名称设置为“fNoRemoteDesktopWallpaper”，再用鼠标双击“fNoRemoteDesktopWallpaper”项目，在弹出的数值设置窗口中，输入“0”（如图4所示），再单击“确定”按钮，并刷新一下系统注册表就可以了。值得注意的是，该方法仅在Windows XP服务器系统中有效。

图4

　　6、拒绝远程安装打印驱动

　　在缺省状态下，Windows 2000服务器系统允许普通帐号下的用户，通过远程方式在服务器中安装打印驱动程序，如此一来这些用户就能在服务器中随意安装新的网络打印机了。不过这样的话，服务器的安全可能就会受到威胁，例如非法用户拼命向网络打印机发送垃圾任务的话，就能导致服务器系统运行性能下降，甚至能造成服务器出现死机现象。为了避免普通帐号下的用户，随意通过远程方式在本地服务器中安装打印驱动，你可以按照如下设置，来拒绝远程安装打印驱动：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮之后，在随后弹出的注册表编辑窗口中，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services上，如图6所示；

　　右击“LanMan Print Services”注册表分支，从打开的快捷菜单中依次单击“新建”/“双字节值”命令，并将它的名称输入为“AddPrintDrivers”，再将“AddPrintDrivers”双字节值的数值设置为“1”，最后刷新一下系统注册表，这样的话服务器系统日后就只允许系统管理员以及管理员组中的用户，可以进行远程安装打印驱动了。

　　7、对远程连接数量进行限制

　　为了保证Windows XP终端服务器始终处于高效运行状态，你应该想办法对服务器在同一时间内建立的远程连接数量进行适当限制，这样终端服务器的性能就会得到稳定。在对Windows XP终端服务器的远程连接数量进行限制时，你可以按照如下步骤来限制：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮后，打开系统的注册表编辑界面，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services上； 

　　在对应Terminal Services注册表分支的右边子窗口中，用鼠标右键单击空白区域，从弹出的快捷菜单中依次执行“新建”/“DWORD值”命令，并将新创建的双字节值名称设置为“MaxInstanceCount”，再用鼠标双击“MaxInstanceCount”项目，在弹出的数值设置窗口中，输入合适的连接数量，例如允许10个用户同时与服务器远程连接的话，你就可以在这里输入“10”（如图5所示），再单击“确定”按钮就可以了。正常情况下，“MaxInstanceCount”项目的数值范围在“1~999999”之间，如果你希望Windows XP终端服务器对远程连接数量不进行限制的话，那么你可以将它的数值设置为“999999”。

图5

　　8、阻止远程访问系统日志

　　由于Windows 2000服务器中的系统日志文件，保存有所有用户访问服务器时的安全信息和操作记录信息，任何黑客企图攻击服务器的痕迹都能从找分析查找到。可是在缺省状态下，系统的日志文件允许被匿名帐号或Guest帐号远程查看到，这么一来黑客就可能远程“抹除”它们在日志中留下的攻击痕迹，从而导致系统管理员无法及时发现系统安全隐患。为此，你可以通过下面的办法，来阻止普通帐号下的用户来远程访问系统日志：

　　依次单击“开始”/“运行”命令，在打开的系统运行对话框中，输入注册表编辑命令“Regedit”，单击“确定”按钮后，打开系统的注册表编辑界面，将鼠标定位于注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application上，如图6所示；

图6

　　接着再依次单击菜单栏中的“编辑”/“新建”/“双字节值”命令，在Application分支下面创建一个名为“RestrictGuestAccess”的双字节值，并将其数值输入为“1”，最后单击“确定”按钮，这样服务器就能拒绝普通帐号远程访问服务器中的应用日志了；

　　如果要想拒绝普通帐号远程访问服务器中的系统日志的话，那么你还需要在注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System下，创建好“RestrictGuestAccess”双字节值，同时将其数值也输入为“1”；如果要想拒绝普通帐号远程访问服务器中的安全日志的话，那么你还需要在注册表分支HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security下，创建好“RestrictGuestAccess”双字节值，再将它的数值也输入为“1”，最后刷新一下系统注册表就可以了。

　　9、阻止远程访问缓存密码

　　Windows 2003服务器系统在缺省状态下，会自动将系统管理员输入的各种密码信息，暂时保存到系统缓存中，而许多黑客或非法攻击者一旦将目光瞄准到服务器中的指定缓存上时，那么服务器缓存中的各种密码信息就能被黑客轻易远程获取到。为了保证Windows 2003服务器系统中的密码信息，不被远程非法盗取，你可以按照下面的操作，来阻止黑客远程访问缓存密码：