如何安全登陆企业Windows服务器

1)、禁用Guest账号在计算机管理的用户里面把Guest账号禁用。为了保险起见，最好给Guest加一个复杂的密码。

2)、限制不必要的用户 去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限，并且经常检查系统的用户，删除已经不再使用的用户。

3)、创建两个管理员账号创建一个一般权限用户用来收信以及处理一些日常事物，另一个拥有Administrator权限的用户只在需要的时候使用。

4)、把系统Administrator账号改名Windows XP的Administrator用户是不能被停用的，这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户，比如改成Guesycludx。

5)、创建一个陷阱用户创建一个名为“Administrator”的本地用户，把它的权限设置成最低，什么事也干不了的那种，并且加上一个超过10位的超级复杂密码。

6)、把共享文件的权限从Everyone组改成授权用户 不要把共享文件的用户设置成“Everyone”组，包括打印共享，默认的属性就是“Everyone”组的。

7)、不让系统显示上次登录的用户名 打开注册表编辑器并找到注册表项HKLMSoftwaremicrosoftWindowsTCurrentVersionWinlogonDont-DisplayLastUserName，把键值改成1。

在企业的生产中相信各位朋友都会使用远程登录服务器，这样即高效也非常方便，（服务器在西藏，没有远程技术，公司在北京，你只能到西藏与机器相伴，在这里我使用xshell软件），我们使用ssh 服务登录服务器时，如果用用户名和密码登录时（超户基本都叫root,名字知道了，下面你们懂得），极其不安全。如果使用密钥对登录的方式，对咱们的服务器来说，等于又添加了一道枷锁，（让坏人更加难以进入我们的服务器为所欲为）。那么我们就来看一下密钥对如何设置吧

以下过程全程截图

第一步：进入xshell

第二步：选择算法，生成密钥对（下一步即可）

第三步:将windows公钥传到服务器上(rz命令即可上传，不会自行百度)

第四步：改为服务指定的路径

[root@cilent ~]# mv id_rsa_2048_\(2\)pub ssh

第五步：实验，密钥对登录

OK!!!

1 ssh简介以及本例的应用场景

① ssh的简介

SSH是一个用来替代TELNET、FTP以及R命令的工具包，主要是想解决口令在网上明文传输的问题。为了系统安全和用户自身的权益，推广SSH是必要的。 SSH是英文Secure Shell的简写形式。通过使用SSH，你可以把所有传输的数据进行加密，这样"中间人"这种攻击方式就不可能实现了，而且也能够防止DNS欺骗和IP欺骗。

② 本例的应用场景

用户在client(Linux)上通过ssh远程执行server(Windows)上的命令，比如c:\testbat

注：Linux版自带ssh Server且默认启动，具体设置方法请参见google。

2 ssh服务器的安装(Windows)

ssh服务器软件有许多中，我们这里使用的是免费的freeSSHd。

① 首先从官方站点下载软件并安装（http://wwwfreesshdcom/）

② 安装完成后进入配置界面（Server Status），确认SSH server正在运行状态

③ 进入Users界面，设定一个访问的用户账户（比如xut）

这里我们建立一个叫xut的用户，认证有3种方式可以选择。从以后通过ssh运行命令的方便（无需输入密码）考虑，我们选择Public key认证方式。选择Password方式的话，每次访问需要输入密码，此种方式较为繁琐而且安全性不高。然后开放其Shell权限。

④ 进入认证界面，确认Public key认证方式属于激活状态（选择Allowed或Required）

此时ssh服务器端的基本设置已经OK，可进一步进行更加详细的设置（比如访问限定等），此处不再介绍。

注意：服务器端如果有防护墙时应该开发TCP 22号端口最为ssh连接使用。

3 ssh客户端的设置(Linux)

由于我们的客户端采用的是Linux，所以不用安装客户端软件，系统自带的就有。

我们需要在Linux上创建一个共有和私有的密钥对，私有密钥放到客户端（Linux）上，共有密钥放到服务器端（Windows）上。在Linux上通过ssh-keygen命令来创建。

[root@localhost ~]# ssh-keygen -t rsa

Generating public/private rsa key pair

Enter file in which to save the key (/root/ssh/id_rsa): [直接回车]

Enter passphrase (empty for no passphrase): [直接回车]

Enter same passphrase again: [直接回车]

Your identification has been saved in /root/ssh/id_rsa

Your public key has been saved in /root/ssh/id_rsapub

The key fingerprint is:

4d:dd:48:af:76:c2:ba:a8:bc:20:f3:28:1d:6a:28:53

其中，/root/ssh/id_rsa为私有密钥，/root/ssh/id_rsapub为共有的密钥。

此时，需要把共有密钥放到服务器端（Windows）进行保存，以便于服务器端进行安全检查。

我们通过认证界面找到存放共有密钥的地址(Public key folder)。

如上图所示，然后在c:\Program Files\freeSSHd目录下创建以登录用户名为名字的文本文件，此处举例为xut文件。并将/root/ssh/id_rsapub文件中的内容拷贝到c:\Program Files\freeSSHd\xut文件中。

至此，客户端和服务器端的密钥设置已经完成，可以通过如下命令进行远程的命令执行。

ssh xut@17228xxxxx "c:\testbat"

这条命令将执行服务器端的C盘下的testbat文件，并把结果返回,整个操作不需输入密码。

4 ssh客户端的设置(Windows)

由于Windows不附带ssh的客户端和服务器端，我们这里找一个免费的客户端软件PuTTY。

PuttY主页：http://wwwchiarkgreenendorguk/~sgtatham/putty/

各种客户端的比较：http://enwikipediaorg/wiki/Comparison_of_SSH_clients

在Putty主页，我们下载puttyzip（含除了PuTTYtel以外的所有文件），然后解压会发现一个叫plinkexe的文件，这就是我们的ssh客户端命令行软件。

我们首先要成一个共有和私有的密钥对，使用puttyzip中附带的PUTTYGENexe生成。

启动PUTTYGENexe后可以见到下图界面，点击[Generate]即可生成所需密钥对。

注意：由于是采用随机算法生成，需要不停地在对话框上移动鼠标进度条才会增加，否则将保持不变。

鼠标在这里不停移动

密钥生成完毕后，可以把私有密钥进行保存，为了登录简单起见不对私钥进行加密，提示没有passphrase选择忽略即可。假设我们这里把私钥保存为pri_keyppk。

我们把公钥放在freeSSHd端（ssh服务器端）进行保存，具体保存方法参见ssh客户端的设置(Linux)。

在Windows客户端，执行如下命令进行ssh连接，并不需要输入密码即可通过密钥进行自动认证。

plink -i pri_keyppk xut@17228xxxxx c:\testbat

（此时将执行服务器端的c:\testbat脚本。）

注：第一次连接时将出现“The server's host key is not cached in the registry…

服务器生成密钥

执行命令：ssh-keygen -t rsa

使用的是root用户，则密钥在/root/ssh/目录中查找 id_rsa（私钥） 和  id_rsapub（公钥）  两个文件

其他用户则在home目录中查找，如：/home/用户名/ssh

使用服务器的私钥登录服务器

1、将服务器的公钥添加到服务器对应账户的home目录下的ssh/authorized_keys文件中，添加到末尾

2、使用服务器的私钥进行登录

命令格式：

ssh -i 私钥 账户名@服务器ip

样例：

ssh -i C:/Users/xxx/Desktop/id_rsa ubuntu@192168100154

cmd命令窗口截图：

本文将展示使用Windows远程桌面客户端程序登陆终端服务器的具体操作方法。一般情况下，如果想要登录虚拟终端服务器，就需要用到远程桌面连接客户端。远程桌面连接客户端是从Windows XP系统开始由微软公司提供并默认安装的系统内置组件。而对于Mac OSX和Windows 2000即更早版本的系统来说，则需要用户自行下载并安装远程桌面连接组件，方可使用它登录终端服务器。

步骤

如果你使用的是Windows Vista、Window 7或Windows Server 2008操作系统，那么你可以在“开始”菜单中依次点击“所有程序”→“附件”→“远程桌面连接”。

如果你使用的是Windows XP或Windows Server 2003系统，那么你可以在“开始”菜单中依次点击“所有程序”→“附件”→“通讯”，找到“远程桌面连接”菜单项。

打开远程桌面连接来登录虚拟终端服务器。

在计算机一栏，输入虚拟终端服务器的IP地址（配置服务器后，账户的首要联系人收到的IP地址就是这里所需输入的地址）。

点击“选项”按钮。

点击“本地资源”选项卡。

确保勾选“打印机”选项前的复选框（即框内出现对号标记），然后点击“详细信息”。

确保勾选“驱动器”选项（即选项前的复选框内出现对号标记）。然后点击“确定”按钮。

点击“常规”选项卡，然后点击“另存为”按钮。

选择桌面。在文件名一栏输入你想设置的文件名称，然后点击“保存”按钮。

点击“连接”按钮来连接你的虚拟终端服务器。 （首次连接虚拟终端服务器时，你可能需要接受安全警告。如果弹出安全警告，选择“下次不再询问”选项，然后点击“连接”按钮。）

输入你的用户名和密码，然后点击“确定”。（出于信息安全的考虑，建议你不要选择“记住我的用户名、密码”选项。如果弹出安全消息，勾选“下次不再询问”选项，然后点击“确定”按钮）。 连接到虚拟终端服务器后，屏幕上方会出现连接菜单栏。你可以使用连接栏来最小化、最大化或关闭远程桌面连接客户端窗口。 你可以选择让连接菜单栏永久显示在屏幕上方，也可以调为“自动隐藏”状态。调为“自动隐藏”后，当鼠标光标离开屏幕上方时，连接菜单栏会自动消失。反之，当鼠标回到屏幕上方位置时，又会出现连接菜单栏。

点击连接栏中的“X”即可关闭远程桌面连接窗口，但这不会登出终端服务器，也就是说会话依旧处于登录状态，虚拟终端服务器中打开的程序也依旧正常运行。

如果你想要关闭虚拟终端服务器中所有的程序并登出服务器，那么你需要点击“开始”菜单中的“注销”选项。