雖然有可能登錄到駐留在伺服器上的域(domain),但是用戶通常不登錄到這個域。相反,他們使用伺服器所不知道的用戶名登錄到本地計算機上。通過在快捷方式和在腳本中使用伺服器的IP地址,未經授權的用戶可以訪問存儲在伺服器上的文件。我認為,伺服器允許未經授權的訪問,這在一定程度上就喪失了安全性。我不確定是否會出現這樣的事情,但我最近發現路由器正被用作動態主機配置協議(DHCP)伺服器,而非用於運行Win2003。誰可以提出一種方法來強制用戶登錄到域,從而阻止這種未經授權的行為呢? ITKE成員lerandell的回答: 這聽起來好像是所有的系統由相同的用戶名和密碼創建。我傾向於相信他們使用的是「管理員」用戶名。如果「管理員」帳戶存儲在兩台計算機上,並且帳戶的密碼是「p@ssw0rd ,」 那麼每個客戶都可以使用另外一個網路帳戶。為了制止這種情況,將本地管理員帳戶更改為一些用戶不會知道的名稱。這很容易做到,只需修改分組策略 (Group Policies)。這還需要更改域控制器和工作站的帳戶,這將迫使每個人都使用給其指定的域用戶帳戶。此外,如果你想跟蹤試圖訪問該帳戶的用戶,那麼創建一個虛假的、不可用的管理員帳戶並使用它來達到安全登錄的目的。 ITKE成員Guardian的回答: 我會檢查域安全策略和本地安全策略。確保每個已經進入到域的用戶許可權並沒有受到限制。用戶必須經過身份驗證才能訪問域和資源。其中大多數操作你可以在管理工具中找到。刪除工作組電腦,就像在XP的家庭版中進行操作一樣(鍵入你的域名系統(DNS)後綴,然後選擇「更改DNS後綴」)。 ITKE成員dwiebesick的回答: 要限制本地登錄,你可以使用組策略。在組策略下有可以使用的安全設置,計算機可以在本地配置windows設置安全性、設置本地用戶許可權和分配方法,這些你都可以通過閱讀微軟知識庫(Knowledge Base)中編號為823659的文章進行了解。 如果你知道用戶正在使用的用戶名和密碼,那你需要對它進行修改。如果你是本地計算機的管理員帳戶,可以使用腳本輕易地更改它們。 ITKE成員astronomer的回答: 看來好像你有一個像工作組那樣工作的域。如果你有許可權,那麼你可以創建一個與本地帳戶不同名的域帳戶。然後,禁用任何域帳戶(或者至少更改密碼),這常被用來實現域安全,並強制用戶使用他們自己的域帳戶。你需要確保的是,用戶使用他們自己的域帳戶來獲取伺服器上所需的資源。 但是,請記住,我假設工作站都是域的成員。一旦用戶開始使用域帳戶進行登錄,那麼需要開始使用組策略來對他們進行管理。 ITKE成員DaJackal的回答: 以下是我對這一問題可能採取的做法。首先,轉到:開始「程序」管理工具「域控制器安全策略。然後,進一步設置安全選項。 下一步,驗證如下的兩個項目: 最後,我會驗證用戶正在登錄的本地帳戶是否不同於你的域或本地域控制器中的帳戶。如果你樂意,這些用戶名可以是相同的,但你必須確保密碼是不同的,並且用戶不知道密碼是什麼。因此,如果用戶名是相同的,該域將提示他們輸入密碼。不幸的是,Windows僅確認用戶名,而不驗證的安全標識符(SID)。
2. 伺服器2003server系統,雙網卡,分別連接內外網,如何實現內外網訪問控制急求!在線等,謝謝!
裝ISA,把這台機器加入windows域,上網的身份驗證為域用戶,至於流量控制可以在isa上安裝
Bandwidth Splitter for Microsoft ISA Server
3. 伺服器的訪問管理有什麼
伺服器訪問管理方法有很多的,在網上搜到所有也有很多的,給大家一個現成的,希望能夠幫助到大家。
4. 區域網的訪問控制有哪幾種,分別適用於哪些網路
1、沖突檢測的載波偵聽多路訪問法:適用於所有區域網。
2、令牌環訪問控製法:只適用於環形拓撲結構的區域網。
3、令牌匯流排訪問控製法:主要用於匯流排形或樹形網路結構中。
(4)伺服器區網路訪問控制擴展閱讀
令牌匯流排訪問控制方式類似於令牌環,但把匯流排形或樹形網路中的各個工作站按一定順序如按介面地址大小排列形成一個邏輯環。只有令牌持有者才能控制匯流排,才有發送信息的權力。信息是雙向傳送,每個站都可檢測到站點發出的信息。
CSMA/CD要解決的另一主要問題是如何檢測沖突。當網路處於空閑的某一瞬間,有兩個或兩 個以上工作站要同時發送信息,同步發送的信號就會引起沖突。
5. 簡述網路訪問控制的策略
訪問控制策略是網路安全防範和保護的主要策略,其任務是保證網路資源不被非法使用和非法訪問。各種網路安全策略必須相互配合才能真正起到保護作用,而訪問控制是保證網路安全最重要的核心策略之一。訪問控制策略包括入網訪問控制策略、操作許可權控制策略、目錄安全控制策略、屬性安全控制策略、網路伺服器安全控制策略、網路監測、鎖定控制策略和防火牆控制策略等7個方面的內容。
6. 如何設置網路伺服器許可權
1、打開Internet信息服務窗口,在該窗口的左側顯示區域,用滑鼠右鍵單擊目標FTP站點,從彈出的快捷菜單中單擊「屬性」命令,打開目標FTP站點的屬性設置窗口,單擊該窗口中的「安全帳號」標簽,進入到標簽設置頁面(如下圖); 檢查該標簽頁面中的「允許匿名連接」項目是否處於選中狀態,要是發現該選項已經被選中的話,那我們必須及時取消它的選中狀態;
單擊上圖中標簽頁面中的「瀏覽」按鈕,從隨後出現的「選擇用戶或組」設置窗口中,依次將「bbb」、「ccc」用戶帳號選中並導入進來,再單擊「確認」按鈕,返回到Internet信息服務列表窗口;
3、驗證共享訪問安全
為了檢驗B部門、C部門的員工在訪問FTP伺服器時,是否只能看到本部門的上傳信息,我們現在就以FTP伺服器IP地址為192.168.1.10為例嘗試FTP登錄訪問操作。首先打開IE瀏覽窗口,並在該窗口址址框中輸入URL地址「ftp://192.168.1.10」,單擊回車鍵後,IE會自動彈出一個身份驗證對話框,在其中正確輸入用戶名「bbb」及對應帳號的訪問密碼,再單擊「登錄」按鈕,在隨後彈出的瀏覽頁面中,我們會發現B部門的員工以「bbb」用戶帳號登錄FTP伺服器時,只能訪問並管理「bbb」信息上傳目錄,而看不到「ccc」信息上傳目錄中的內容。當我們再次在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10」,然後在身份驗證對話框中輸入「ccc」用戶帳號及對應該帳號的密碼時,我們會發現C部門的員工以「ccc」用戶帳號登錄FTP伺服器時,只能訪問並管理「ccc」信息上傳目錄,而看不到「bbb」信息上傳目錄中的內容。
當B部門的員工登錄進FTP伺服器後,想嘗試在IE瀏覽窗口中輸入URL地址「ftp://192.168.1.10/ccc」,來達到瀏覽C部門的信息上傳目錄時,IE會自動彈出相關提示信息,告訴我們沒有瀏覽對應目錄的許可權。通過上述驗證操作,我們發現不同部門的員工共享使用同一台FTP伺服器時,只要進行合適的共享許可權設置,就會有效避免部門信息被輕易外泄的風險。
7. 如何在windows2008系統下開啟網路訪問功能
1、安裝網路訪問保護功能;打開Win2008系統的「開始」菜單,從中依次選擇「程序」/「管理工具」/「伺服器管理器」命令,從其後出現的伺服器管理器窗口左側區域單擊「角色」節點選項,並在對應該節點的右側顯示區域單擊「添加角色」功能,打開角色添加向導窗口,依照提示將「網路策略和訪問服務」項目選中,之後點擊「安裝」按鈕,再按向導默認設置完成網路訪問保護功能的安裝任務; 2、創建健康安全標准;在進行這種操作時,我們可以先單擊系統任務欄中的「伺服器管理器」按鈕,從彈出的伺服器管理器窗口左側區域處逐一點選「角色」、「網路策略和訪問服務」、「NPS」、「網路訪問保護」、「系統健康驗證器」節點選項,再單擊目標選項右側區域中的「屬性」按鈕,打開安全健康驗證對話框,點選「配置」按鈕,選中常規的「防病毒應用程序已啟用」、「已為所有網路連接啟用防火牆」、「防病毒程序為最新的」等幾種健康安全標准,以後任何需要連接到區域網中的計算機必須同時符合上面的健康標准,Win2008系統才會認為它是健康、安全的計算機; 3、創建安全驗證策略;在創建健康的安全驗證策略時,我們可以先將滑鼠定位於伺服器管理器窗口左側區域中的「網路策略伺服器」節點選項,再從目標節點下面逐一「策略」、「健康策略」分支,在目標分支下面再點選「新建」按鈕,從彈出的安全驗證策略對話框中將新的「策略名稱」設置為「健康計算機」,將「客戶端SHV檢查」參數設置為「客戶端通過了所有SHV檢查」,將「此健康策略中使用的SHV」參數選擇為「Windows安全健康驗證程序」,最後單擊「確定」按鈕結束健康的安全驗證策略創建操作;按照同樣的操作步驟,我們還可以創建一個不健康的安全驗證策略,只是在創建這種策略時,我們必須將「客戶端SHV檢查」參數選擇為「客戶端未能通過一個或多個SHV檢查」,其餘參數都和上面相同就可以了; 4、創建新的網路連接策略;將滑鼠先定位於伺服器管理器窗口左側區域處「網路策略和訪問服務」節點上,並從該節點下面依次點選「NPS」、「策略」、「網路策略」選項,從目標選項下面點選「新建」按鈕,此時系統屏幕上會出現一個創建網路連接策略向導窗口;在這里將「策略名稱」參數設置為「健康連接」,將「網路訪問伺服器類型」選項選擇為「DHCP Server」,再從其後界面中單擊「添加」按鈕,同時將「選擇條件」選擇為先前創建好的「健康計算機」策略,再根據向導默認提示逐一點選「已授予訪問許可權」、「僅執行計算機健康檢查」設置選項,最後再將「策略設置」參數設置為「NAP強制允許完全網路訪問」,同時單擊「完成」按鈕結束網路連接策略創建工作。再按照相同的操作步驟,我們創建一個「不健康連接」的網路策略,只是在進行這種操作時,我們必須將「選擇條件」參數選擇為「不健康計算機」策略,並且將「策略設置」參數設置為「拒絕訪問」選項,其餘參數跟上面一模一樣; 5、對DHCP服務功能進行設置;考慮到普通計算機在訪問網路時,首先需要聯系區域網中的DHCP伺服器,因此我們還必須設置好合適的DHCP服務參數,保證所有計算機的上網連接請求通過DHCP功能轉交給Win2008系統的網路訪問保護功能進行處理。依次單擊伺服器系統桌面中的「開始」/「程序」/「管理工具」/「伺服器管理器」/「DHCP」選項,進入DHCP伺服器控制台界面,打開目標作用域的屬性界面,點選該界面中的「網路訪問保護」選項卡,在對應選項設置頁面中選中「對此作用域啟用」選項,同時選中「使用默認網路訪問保護配置文件」,最後單擊」確定「按鈕執行設置保存操作。 通過上述五個步驟的操作之後,用戶就可以輕松地在windows2008系統下開啟網路訪問功能,只要有存在威脅的計算機要連接入網時,就會受到win2008網路訪問保護功能的控制,以免將病毒傳染給其他計算機,保證了區域網內的網路安全。
8. 伺服器雙網卡,如何實現內網對外網的訪問控制,在線等答案,急,謝謝!
第一個問題不知道是什麼意思!
如果你像讓內網能訪問外網,外網不能訪問內網的話, 你可以在路由器上做 NAT
進行流量控制可以在交換機上做QOS 進行流量限速!
9. 怎麼設置電腦(伺服器)在互連網上的訪問許可權
使用 remote access 選項可以從運行 Microsoft SQL Server 實例的本地或遠程伺服器上控制存儲過程的執行。將 remote access 設置為 1(默認值)表示允許從遠程伺服器執行本地存儲過程或從本地伺服器執行遠程存儲過程。將此選項設置為 0 表示阻止本地存儲過程在遠程伺服器上執行或遠程存儲過程在本地伺服器上執行。
remote access 選項僅適用於使用 sp_addserver 添加的伺服器,包括此選項是為了向後兼容。
該設置在伺服器重新啟動後生效。
10. 如何阻止對伺服器的非法網路訪問
答1:
每一台客戶機都可以訪問對方的網路賬戶。要阻止這種事情發生,把本地管理員賬戶名稱改為用戶不知道的其它名稱。這很容易做到,簡單地通過組策略就可以實現。我還要修改域控制器和工作站賬戶。這將迫使每一個人都使用分配給他們的域用戶賬戶。如果你要查看誰試圖訪問這個賬戶,你可以創建一個虛假的、關閉功能的管理員賬戶,並把這個賬戶用於安全登錄的目的。">這聽起來好像是所有這些系統都是使用同樣的用戶名和口令創建的。我傾向於認為他們在使用「管理員」用戶名。而且,如果這個「管理員」賬戶在這兩台計算機上都有,並且這個賬戶的口令是「p@ssw0rd」,每一台客戶機都可以訪問對方的網路賬戶。要阻止這種事情發生,把本地管理員賬戶名稱改為用戶不知道的其它名稱。這很容易做到,簡單地通過組策略就可以實現。我還要修改域控制器和工作站賬戶。這將迫使每一個人都使用分配給他們的域用戶賬戶。如果你要查看誰試圖訪問這個賬戶,你可以創建一個虛假的、關閉功能的管理員賬戶,並把這個賬戶用於安全登錄的目的。
答2:
我會檢查域安全政策和本地安全政策。確認每一個人都加入了這個域,而且你的許可沒有限制。用戶必須獲得批准才能訪問這個域和資源。你在管理工具中能夠發現大多數這些內容。刪除在XP主機中的工作組PC(輸入域名系統前綴並且選擇「改變域名系統前綴」)。
答3:
要限制本地登錄,你可以使用組策略。有一種安全設置可以在組策略中進行設置。閱讀微軟知識庫中編號823659的文章可以了解這種設置方法。
你還可以修改NTFS(新技術文件系統)安全設置來控制最終用戶訪問的文件/文件夾。設置這個功能,這樣只有獲得批準的域的未經授權的用戶能夠訪問你認為可以訪問的內容。
如果你知道正在使用的用戶名和口令是什麼,修改這些用戶名和口令。如果這是本地計算機管理員的賬戶,有許多可用的腳本能夠很方便地進行這種修改。共2頁。
答4:
你好像有一個像工作組一樣工作的域。如果你擁有這個許可權,創建一個與本地賬戶名稱不同的域賬戶。然後,然後關閉用來繞過域安全措施的任何域賬戶(或者至少要修改口令),強制用戶使用他們的域賬戶。你需要確認用戶必須使用他們自己的域賬戶訪問他們在伺服器上需要的資源。
然而,要記住,我在推測工作站是域成員。一旦用戶開始使用域賬戶登錄,你就可以使用組和策略來管理他們。
對於記錄來說,DHCP伺服器是什麼設備都沒有關系,只要它能夠提供合適的地址和你的環境選項就行。路由器對於一個單個的子網是一種合理的選擇。由於路由器沒有硬碟,路由器可能會比伺服器更可靠。
答5:
我是這樣做的。首先,進入「開始」->「程序」->「管理工具」->域控制器安全策略。然後進入安全選項。
下一步,驗證如下兩個項目:
網路接入:允許「每一個人」申請匿名用戶--->關閉。
網路接入:不允許匿名列舉存儲域管理賬戶和共享--->打開。
選擇這兩個選項應該能夠糾正匿名訪問問題。
最後,我會驗證這些用戶登錄使用的本地賬戶與你的預的賬戶不一樣,或者是你域控制器本地的賬戶。如果你讓他們相同的話,這些用戶名可以是一樣的。但是,你必須確認口令是不同的,而且用戶不知道這個口令是什麼。因此,如果這些用戶名是相同的,域將提示用戶輸入口令。遺憾的是Windows僅證實用戶名,不驗證這種安全識別符號。按照這些步驟應該能夠解決你的伺服器的未經授權的訪問難題。