很多服务器被黑客入侵,都是会通过各种漏洞新建一个用户帐户,然后想办法将之提权到administrators组里面,然后使用新建的帐户登陆到服务器上,然后再做进一步入侵,留下木马后门等。
针对这个情况,我们可以在组策略编辑器里面做一个小小的设置我们就可以让黑客新建的帐户无法登陆到我们的服务器了!
设置步骤如下:
1.使用gpedit.msc命令,打开组策略编辑器。
然后依次展开计算机配置----windows设置----安全设置----本地策略----用户权限分配。
到这里后,在右边的窗口中,找到通过终端服务允许登陆如下图所示:
2.设置属性,将原来的administrators组删除掉,然后添加上你的管理员帐户,可以是administrator或者是您自己新建的可以远程管理的用户(为方便演示我这里设置的administrator但是administrator本身就是不安全的),切记这里只保留一个用户就可以了。
设置如下图所示:
3.到这里然后点击应用确定,然后设置就完成了。
4.下面来测试下一个效果,新建一个test帐户,密码随意,添加到administrators组内。
5.然后使用新建的帐户远程登陆,会发现提示你没有权限,而在没有做设置之前是可以登陆的!
小结: 由于现在越来越多的网络管理员的安全意识不够,照成大量的数据泄露以及服务器被抓成肉鸡或网站被挂马,等等现象不一而止,这篇文章只是我在一个客户被入侵后无法远程然后得到的一个想法。
关于这个权限的设置还有一个地方也是可以设置的,开打管理工具---终端服务配置--连接---RDP-Tcp属性--权限这里也是可以对用户的权限进行设置的。