网络管理安全维护新门道

    不让网络访问惹麻烦

    在WindowsServer2008工作环境下上网冲浪时，不小心就可能访问到带有病毒或木马的非法网站页面，此时网络病毒或木马就可能趁机攻击服务器系统，最终会影响WindowsServer2008服务器系统的运行稳定性。考虑到许多带有病毒或木马的非法网站页面都是通过执行恶意控件代码来实现攻击目的的，如果我们能够让WindowsServer2008系统下的IE浏览器自动屏蔽运行各种脚本程序以及控件代码时，那么日后即使不小心碰到了带有病毒或木马的非法网站页面，WindowsServer2008服务器系统也不会遭遇到网络病毒或木马的攻击，如此一来服务器系统的运行安全性就能得到有效保证了。

    事实上，在WindowsServer2008服务器系统环境下，我们可以很轻松地实现上述的控制目的，因为WindowsServer2008系统已经为用户提供了一种无加载运行IE浏览器的功能，通过该功能，IE浏览器会自动屏蔽运行各种脚本程序以及控件代码。无加载运行IE浏览器的操作也很简单，我们只要在WindowsServer2008系统桌面中，单击系统的“开始”菜单，从中依次点选“程序”、“附件”、“系统工具”、“InternetExplorer（无加载项）”命令（如下图所示）。

    在其后弹出的IE浏览器窗口中，我们可以按照常规方法进行上网访问，在访问过程中IE浏览器能够自动屏蔽运行各种脚本程序以及控件代码。

    小提示：在WindowsServer2008操作系统中，我们有时会看到无论如何调整IE浏览器高级选项设置页面中的安全选项以及脚本控制选项，都不能解决网站页面内容显示不全的故障。其实，这种故障是WindowsServer2008系统新增加的IE增强安全配置功能造成的，在启用该功能的情况下，那么IE浏览器的安全级别会被强行设置成最高等级，在这种安全访问级别下，IE浏览器将会对网站页面中的所有脚本程序自动屏蔽执行，这样的话由脚本控制显示的网页内容当然显示不出来了。

    同时，我们即使打开安全选项设置页面，也无法借助手工方法降低IE浏览器的安全访问级别。要想利用IE浏览器访问到完整的网页内容，那我们必须关闭缺省启用的IE增强安全配置功能，同时需要降低IE浏览器的安全访问级别，下面就是具体的设置步骤：

    首先在WindowsServer2008系统中单击“开始”菜单，从中依次单击“程序”/“管理工具”/“服务器管理器”命令，打开对应系统的服务器管理器窗口；单击目标窗口左侧区域“安全信息”设置项下面的“配置IEESC”功能按钮，在其后弹出的设置对话框中，将“管理员”下面的“禁用”项目选中，再将“用户”下面的“禁用”项目选中，最后单击“确定”按钮保存上述设置操作，如此一来在缺省状态下被启用运行的IE增强安全配置功能就被暂时停止运行了；

    之后启动IE浏览器程序，依次单击IE浏览器窗口中的“工具”/“Internet选项”，打开IE浏览器的Internet选项设置窗口，单击该窗口中的“安全”选项卡，在对应选项设置页面中将IE浏览器缺省的最高安全访问级别修改为中等安全访问级别，再单击“确定”按钮保存上述设置操作，这样的话WindowsServer2008系统就可以使用IE浏览器访问到包含脚本的页面内容了。

    让远程端口更加安全

    在安装了WindowsVista系统的工作站中，我们仍然可以使用远程桌面功能，来对位于异地的服务器系统进行远程管理，从而实现提高局域网管理效率的目的。然而远程桌面功能在默认状态下会使用众人皆知的3389端口，非法攻击者通过专业的扫描工具很容易对来自该端口的信号进行窃听，如此一来处于开通状态的远程桌面功能很可能会给WindowsVista系统带来安全麻烦。

    但是，我们在管理、维护网络的时候很多情况下都离不开远程桌面功能，在这种情形下，我们能否找到一种有效的办法，既能保证正常使用远程桌面功能，又能不影响WindowsVista系统的安全运行呢？答案是肯定的，我们只要采用手工方法修改一下WindowsVista系统的远程桌面端口号码，非法攻击者不知道该端口号码，自然就不能对目标系统进行安全攻击了：

    首先单击WindowsVista系统桌面中的“开始”按钮，从“开始”菜单中点选“运行”命令，在弹出的系统运行框中输入“regedit”字符串命令，单击“确定”按钮后，屏幕上会出现用户帐号控制窗口，单击该窗口中的“继续”按钮，进入WindowsVista系统的注册表编辑界面；

    其次将鼠标定位于HKEY_LOCAL_MACHINE分支选项上，从该分支选项下面依次展开注册表子项SYSTEM\CurrentControlSet\Ctrol\TerminalServer\WinStations\RDP-Tcp，在“RDP-Tcp”子项下面找到“PortNumber”双字节键值，并用鼠标双击该键值，打开如下图所示的设置对话框。

    在该对话框中选中“十进制”选项，并输入“8866”，最后单击“确定”按钮保存上述设置操作，如此一来WindowsVista系统的远程桌面端口号码就变成了8866，而这个端口号码是普通的扫描工具无法扫描到的。

    当然，要是我们熟悉DOS命令的话，也可以将WindowsVista系统的工作状态切换到命令行提示符下，在其中执行"tlntadmnconfigport=8866"字符串命令，这样的话WindowsVista系统的远程桌面端口号码也能快速变成8866。