控制账号，让Windows Server 2008安全兼顾高效

发布:admin | 发布时间: 2012年6月7日

Windows Server 2008系统与其他操作系统相比，它的安全功能可以说是十分强大的；不过强大的安全功能，在默认状态下有时会制约着该系统的运行效率，如何让Windows Server 2008系统的运行既安全又高效呢？相信这样的“课题”一直困扰着我们每一位普通用户，其实只要对该系统进行合适设置，我们完全可以让Windows Server 2008系统的安全兼顾高效；这不，现在我们就通过控制用户帐号的方式，来对Windows Server 2008系统的运行进行合适设置，以便在不影响系统运行安全的情况下，提升系统的运行效率！

备份帐户，提升还原效率
    一般来说，用户往往会将Windows Server 2008系统作为服务器系统来使用，在该系统中可能创建了多个重要的系统账号，这些重要账号要是被意外删除，或者系统发生崩溃时，我们就无法准确地将它们还原成功，那时就容易造成无法挽回的损失。有鉴于此，我们应该在Windows Server 2008系统能够正常运行的时候，利用该系统自带的备份账号功能，来定期、及时地保存这些重要的用户账号，日后一旦有用户账号被意外删除或者重装系统时，我们就能将那些事先备份好的用户账号快速还原成功，而不需要采用人脑记忆的方法进行逐一还原。在还原用户账户之前，我们可以先按下面的操作来备份帐户：
    首先打开Windows Server 2008系统的“开始”菜单，从弹出的开始菜单中单击“运行”命令，打开系统运行文本框，在其中输入字符串命令“credwiz”，单击“确定”按钮，弹出用户账号备份向导对话框；
    将该对话框中的“备份存储的用户名和密码”项目选中，并点击“下一步”按钮，在其后弹出的界面中单击“浏览”按钮（如图1所示），打开文件夹浏览对话框，在这里设置好保存用户账号的文件名信息以及具体的保存路径，在确认无误后单击“保存”按钮执行设置保存操作，那样的话保存在Windows Server 2008系统中的所有用户账号都会被自动存储到到事先指定的文件中，并且该文件以“crd”为扩展名；

图1

    有了上面的备份账号后，Windows Server 2008系统日后即使遇到了不测，需要重新进行安装时，我们根本不需要担心其中的用户账号会发生丢失，我们只要按照前面的操作打开用户账号备份向导对话框，将其中的“还原存储的用户名和密码”项目选中，再将备份账号文件导入进来，这样一来我们就能高效还原好Windows Server 2008系统的用户账号信息了。

调用账号，提升登录效率
在内网环境中，一些重要的Windows Server 2008服务器系统，可能只允许少数几个用户进行登录，如果每次登录之前都要输入复杂的密码信息，显然会影响登录效率；为了让服务器系统登录效率更高一些，许多用户都希望Windows Server 2008服务器系统能够自动以自己的用户账户完成登录操作，要做到这一点，其实很简单，我们只要进行下面的设置操作就可以了：
　　首先在Windows Server 2008服务器系统桌面上依次单击“开始”/“运行”命令，在弹出的系统运行对话框中，输入字符串命令“control userpasswords2”，单击回车键后，进入对应系统的用户账户控制窗口；在该窗口中单击“用户”选项卡，弹出如图2所示的选项设置页面，检查其中的“要使用本机，用户必须输入用户和密码”选项有没有被选中，如果发现该项目没有被选中时，我们应该将它重新选中，同时单击“确定”按钮返回，这样一来就能强制要求用户必须进行身份登录操作，从而保证系统登录的安全性；

图2

　　其次依次单击“开始”/“运行”命令，在弹出的系统运行框中输入字符串命令“regedit”，单击回车键后，进入系统注册表控制台界面，将鼠标定位于HKEY_LOCAL_MACHINE节点上，并从目标节点下面依次展开SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon子项，在“Winlogon”子项下面，检查一下“DefaultUserName”、“DefaultPassword”、“AutoAdminlogon”等字符串键值是否存在，要是不存在的话，我们可以依次将它们创建好，同时将“DefaultUserName”键值的数值设置为用户自己的登录账号名称，将“DefaultPassword”键值的数值设置为对应账号的密码内容，将“AutoAdminlogon”键值的数值设置为“1”，最后单击“确定”按钮执行设置保存操作，同时启动一下目标服务器系统，如此一来用户登录Windows Server 2008服务器系统时，不但安全而且高效。

限制账号，提升连接效率
    如果Windows Server 2008服务器系统中发布有很重要的数据信息，那么可能会出现多位用户同时访问服务器系统的现象，在这种情况下Windows Server 2008服务器系统要是设置不当的话，可能会弹出远程连接超过限制的提示信息，那样的话就会影响用户的网络连接效率。为了避免这种现象，我们应该先对Windows Server 2008系统的终端连接数量进行合适设置，让其数值尽量稍微大一些，之后还要按照下面的操作，限制好用户账号的空闲会话时间，防止一些非法连接占位不“干活”：
    首先在Windows Server 2008系统桌面上依次点选“开始”、“程序”、“管理工具”、“服务器管理器”选项，弹出服务器管理器界面，将鼠标定位于该界面左侧列表中的“配置”节点上，并从目标节点下面依次展开“本地用户和组”/“用户”分支，再从“用户”分支下面选中目标用户账号，并右击该账号选项，从弹出的快捷菜单中执行“属性”命令，弹出用户账号属性设置对话框；
    其次在该设置对话框中点选“会话”标签，进入如图3所示的标签设置页面，将其中的“空闲会话限制”数值设置为5－10分钟，同时将“达到会话限制或连接被中断时”参数选择为“从会话断开”，最后单击“确定”按钮执行设置保存操作，那样一来日后目标用户账号一旦与Windows Server 2008服务器系统建立了远程连接，那么在10分钟之内必须要进行控制操作，否则的话Windows Server 2008系统就会自动认为目标用户账号创建的连接是非法连接，并会将它强行断开，以便释放该连接占用的服务器系统资源，确保Windows Server 2008系统能高效地处理其他用户创建的网络连接。

图3

监视账号，提升报警效率
    在Windows Server 2008系统环境下上网冲浪时，很容易遭遇一些木马、病毒的攻击，而有的木马病毒会偷偷在本地系统中创建非法用户账号，并企图通过该用户账号监控Windows Server 2008系统的一举一动。为了提升Windows Server 2008系统的安全性，我们往往需要定期监控系统中是否有陌生用户账号存在，可是手工监控陌生账号效率不是很高，很容易出现遗漏现象，有鉴于此，我们可以按照下面的方法来自动监控陌生账号的创建状态：
    首先依次单击Windows Server 2008系统桌面上的“开始”/“运行”命令，在弹出的系统运行框中输入字符串命令“secpol.msc”，单击回车键后，打开系统安全策略编辑界面，选中左侧列表中的“本地策略”节点，并展开该节点下面的“审核策略”子项，用鼠标双击目标子项下面的“审核账户管理”选项，从其后弹出的设置对话框中将“成功”选项选中（如图4所示），再单击“确定”按钮返回；
    其次从Windows Server 2008系统“开始”菜单中依次选择“程序”、“服务器管理器”命令，并将鼠标定位于服务器管理器窗口中的“配置”分支上，再从该分支下面依次选中“本地用户和组”、“用户”选项，并右击该目标选项，从弹出的快捷菜单中点选“新建用户”命令，来自由创建一个系统用户帐号；

图4

    接着依次单击“开始”/“控制面板”命令，在弹出的系统控制面板窗口中依次双击“管理工具”、“事件查看器”图标，进入到Windows Server 2008系统的事件查看器窗口中；在该窗口的左侧列表中展开“Windows日志”/“安全”分支选项，在“安全”选项所对应的右侧列表中我们会看到刚才随意创建好的系统用户帐号记录；
    用鼠标选中那个系统用户帐号记录，并右击该记录选项，再执行右键菜单中的“将任务附加到此事件”命令，打开附加任务向导设置窗口，依照设置窗口的向导提示，选择好新任务的报警方式，例如我们可以选用“显示消息”方式，输入合适的报警提示内容，再设置好报警任务的名称，那样的话Windows Server 2008系统日后一旦发现有陌生的用户账号被创建成功时，系统就会以适当的方式提示我们用户了，到时我们只要看到报警内容，就能判断出当前系统有陌生账号被偷偷创建，那样一来就能在第一时间将它“揪”出来，并予以删除，以便保证系统不受陌生账号的攻击。

空白账号，提升控制效率
    在安全的内网网络中，一些用户有时为了提高远程控制效率，往往希望能够直接用空白密码完成登录操作；不过，当这些用户尝试以空白密码远程登录Windows Server 2008系统时，却发现很难成功，这是为什么呢？原来Windows Server 2008系统在默认状态下，对空白密码的用户账号进行了严格限制，要想利用空白密码账号提高控制效率，我们需要按照下面的操作合适设置好Windows Server 2008系统：
    首先打开Windows Server 2008系统的运行对话框，在其中执行“gpedit.msc”命令，弹出系统组策略编辑界面；依次展开该界面左侧列表中的“计算机配置”/“Windows设置”/“安全设置”/“帐户策略”/“密码策略”选项，并用鼠标双击目标选项下面的“密码长度最小值”组策略，打开“密码长度最小值”属性设置窗口，在其中输入数字“0”，并单击“确定”按钮，那样一来Windows Server 2008系统就能允许我们使用空白密码了；
    但是在默认状态下，使用空白密码的用户账号不具有远程控制权限，我们还需要进行下面的设置，让空白密码的用户账号可以自由进行各种控制操作；在进行这种设置操作时，我们可以在Windows Server 2008系统的组策略编辑窗口中，依次选中“计算机配置”/“Windows设置”/“安全设置”/“本地策略”/“安全选项”分支，在目标分支下面用鼠标双击“帐户：使用空白密码的本地帐户只允许进行控制台登录”组策略，弹出如图5所示的组策略属性设置窗口，将该窗口中的“已禁用”选项选中，同时单击“确定”按钮保存好上述设置操作，这么一来用户就可以在安全的内网环境中使用空白密码账号来提升控制效率了。

图5