虽然有可能登录到驻留在服务器上的域(domain),但是用户通常不登录到这个域。相反,他们使用服务器所不知道的用户名登录到本地计算机上。通过在快捷方式和在脚本中使用服务器的IP地址,未经授权的用户可以访问存储在服务器上的文件。我认为,服务器允许未经授权的访问,这在一定程度上就丧失了安全性。我不确定是否会出现这样的事情,但我最近发现路由器正被用作动态主机配置协议(DHCP)服务器,而非用于运行Win2003。谁可以提出一种方法来强制用户登录到域,从而阻止这种未经授权的行为呢? ITKE成员lerandell的回答: 这听起来好像是所有的系统由相同的用户名和密码创建。我倾向于相信他们使用的是“管理员”用户名。如果“管理员”帐户存储在两台计算机上,并且帐户的密码是“p@ssw0rd ,” 那么每个客户都可以使用另外一个网络帐户。为了制止这种情况,将本地管理员帐户更改为一些用户不会知道的名称。这很容易做到,只需修改分组策略 (Group Policies)。这还需要更改域控制器和工作站的帐户,这将迫使每个人都使用给其指定的域用户帐户。此外,如果你想跟踪试图访问该帐户的用户,那么创建一个虚假的、不可用的管理员帐户并使用它来达到安全登录的目的。 ITKE成员Guardian的回答: 我会检查域安全策略和本地安全策略。确保每个已经进入到域的用户权限并没有受到限制。用户必须经过身份验证才能访问域和资源。其中大多数操作你可以在管理工具中找到。删除工作组电脑,就像在XP的家庭版中进行操作一样(键入你的域名系统(DNS)后缀,然后选择“更改DNS后缀”)。 ITKE成员dwiebesick的回答: 要限制本地登录,你可以使用组策略。在组策略下有可以使用的安全设置,计算机可以在本地配置windows设置安全性、设置本地用户权限和分配方法,这些你都可以通过阅读微软知识库(Knowledge Base)中编号为823659的文章进行了解。 如果你知道用户正在使用的用户名和密码,那你需要对它进行修改。如果你是本地计算机的管理员帐户,可以使用脚本轻易地更改它们。 ITKE成员astronomer的回答: 看来好像你有一个像工作组那样工作的域。如果你有权限,那么你可以创建一个与本地帐户不同名的域帐户。然后,禁用任何域帐户(或者至少更改密码),这常被用来实现域安全,并强制用户使用他们自己的域帐户。你需要确保的是,用户使用他们自己的域帐户来获取服务器上所需的资源。 但是,请记住,我假设工作站都是域的成员。一旦用户开始使用域帐户进行登录,那么需要开始使用组策略来对他们进行管理。 ITKE成员DaJackal的回答: 以下是我对这一问题可能采取的做法。首先,转到:开始“程序”管理工具“域控制器安全策略。然后,进一步设置安全选项。 下一步,验证如下的两个项目: 最后,我会验证用户正在登录的本地帐户是否不同于你的域或本地域控制器中的帐户。如果你乐意,这些用户名可以是相同的,但你必须确保密码是不同的,并且用户不知道密码是什么。因此,如果用户名是相同的,该域将提示他们输入密码。不幸的是,Windows仅确认用户名,而不验证的安全标识符(SID)。
2. 服务器2003server系统,双网卡,分别连接内外网,如何实现内外网访问控制急求!在线等,谢谢!
装ISA,把这台机器加入windows域,上网的身份验证为域用户,至于流量控制可以在isa上安装
Bandwidth Splitter for Microsoft ISA Server
3. 服务器的访问管理有什么
服务器访问管理方法有很多的,在网上搜到所有也有很多的,给大家一个现成的,希望能够帮助到大家。
4. 局域网的访问控制有哪几种,分别适用于哪些网络
1、冲突检测的载波侦听多路访问法:适用于所有局域网。
2、令牌环访问控制法:只适用于环形拓扑结构的局域网。
3、令牌总线访问控制法:主要用于总线形或树形网络结构中。
(4)服务器区网络访问控制扩展阅读
令牌总线访问控制方式类似于令牌环,但把总线形或树形网络中的各个工作站按一定顺序如按接口地址大小排列形成一个逻辑环。只有令牌持有者才能控制总线,才有发送信息的权力。信息是双向传送,每个站都可检测到站点发出的信息。
CSMA/CD要解决的另一主要问题是如何检测冲突。当网络处于空闲的某一瞬间,有两个或两 个以上工作站要同时发送信息,同步发送的信号就会引起冲突。
5. 简述网络访问控制的策略
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。
6. 如何设置网络服务器权限
1、打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击目标FTP站点,从弹出的快捷菜单中单击“属性”命令,打开目标FTP站点的属性设置窗口,单击该窗口中的“安全帐号”标签,进入到标签设置页面(如下图); 检查该标签页面中的“允许匿名连接”项目是否处于选中状态,要是发现该选项已经被选中的话,那我们必须及时取消它的选中状态;
单击上图中标签页面中的“浏览”按钮,从随后出现的“选择用户或组”设置窗口中,依次将“bbb”、“ccc”用户帐号选中并导入进来,再单击“确认”按钮,返回到Internet信息服务列表窗口;
3、验证共享访问安全
为了检验B部门、C部门的员工在访问FTP服务器时,是否只能看到本部门的上传信息,我们现在就以FTP服务器IP地址为192.168.1.10为例尝试FTP登录访问操作。首先打开IE浏览窗口,并在该窗口址址框中输入URL地址“ftp://192.168.1.10”,单击回车键后,IE会自动弹出一个身份验证对话框,在其中正确输入用户名“bbb”及对应帐号的访问密码,再单击“登录”按钮,在随后弹出的浏览页面中,我们会发现B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问并管理“bbb”信息上传目录,而看不到“ccc”信息上传目录中的内容。当我们再次在IE浏览窗口中输入URL地址“ftp://192.168.1.10”,然后在身份验证对话框中输入“ccc”用户帐号及对应该帐号的密码时,我们会发现C部门的员工以“ccc”用户帐号登录FTP服务器时,只能访问并管理“ccc”信息上传目录,而看不到“bbb”信息上传目录中的内容。
当B部门的员工登录进FTP服务器后,想尝试在IE浏览窗口中输入URL地址“ftp://192.168.1.10/ccc”,来达到浏览C部门的信息上传目录时,IE会自动弹出相关提示信息,告诉我们没有浏览对应目录的权限。通过上述验证操作,我们发现不同部门的员工共享使用同一台FTP服务器时,只要进行合适的共享权限设置,就会有效避免部门信息被轻易外泄的风险。
7. 如何在windows2008系统下开启网络访问功能
1、安装网络访问保护功能;打开Win2008系统的“开始”菜单,从中依次选择“程序”/“管理工具”/“服务器管理器”命令,从其后出现的服务器管理器窗口左侧区域单击“角色”节点选项,并在对应该节点的右侧显示区域单击“添加角色”功能,打开角色添加向导窗口,依照提示将“网络策略和访问服务”项目选中,之后点击“安装”按钮,再按向导默认设置完成网络访问保护功能的安装任务; 2、创建健康安全标准;在进行这种操作时,我们可以先单击系统任务栏中的“服务器管理器”按钮,从弹出的服务器管理器窗口左侧区域处逐一点选“角色”、“网络策略和访问服务”、“NPS”、“网络访问保护”、“系统健康验证器”节点选项,再单击目标选项右侧区域中的“属性”按钮,打开安全健康验证对话框,点选“配置”按钮,选中常规的“防病毒应用程序已启用”、“已为所有网络连接启用防火墙”、“防病毒程序为最新的”等几种健康安全标准,以后任何需要连接到局域网中的计算机必须同时符合上面的健康标准,Win2008系统才会认为它是健康、安全的计算机; 3、创建安全验证策略;在创建健康的安全验证策略时,我们可以先将鼠标定位于服务器管理器窗口左侧区域中的“网络策略服务器”节点选项,再从目标节点下面逐一“策略”、“健康策略”分支,在目标分支下面再点选“新建”按钮,从弹出的安全验证策略对话框中将新的“策略名称”设置为“健康计算机”,将“客户端SHV检查”参数设置为“客户端通过了所有SHV检查”,将“此健康策略中使用的SHV”参数选择为“Windows安全健康验证程序”,最后单击“确定”按钮结束健康的安全验证策略创建操作;按照同样的操作步骤,我们还可以创建一个不健康的安全验证策略,只是在创建这种策略时,我们必须将“客户端SHV检查”参数选择为“客户端未能通过一个或多个SHV检查”,其余参数都和上面相同就可以了; 4、创建新的网络连接策略;将鼠标先定位于服务器管理器窗口左侧区域处“网络策略和访问服务”节点上,并从该节点下面依次点选“NPS”、“策略”、“网络策略”选项,从目标选项下面点选“新建”按钮,此时系统屏幕上会出现一个创建网络连接策略向导窗口;在这里将“策略名称”参数设置为“健康连接”,将“网络访问服务器类型”选项选择为“DHCP Server”,再从其后界面中单击“添加”按钮,同时将“选择条件”选择为先前创建好的“健康计算机”策略,再根据向导默认提示逐一点选“已授予访问权限”、“仅执行计算机健康检查”设置选项,最后再将“策略设置”参数设置为“NAP强制允许完全网络访问”,同时单击“完成”按钮结束网络连接策略创建工作。再按照相同的操作步骤,我们创建一个“不健康连接”的网络策略,只是在进行这种操作时,我们必须将“选择条件”参数选择为“不健康计算机”策略,并且将“策略设置”参数设置为“拒绝访问”选项,其余参数跟上面一模一样; 5、对DHCP服务功能进行设置;考虑到普通计算机在访问网络时,首先需要联系局域网中的DHCP服务器,因此我们还必须设置好合适的DHCP服务参数,保证所有计算机的上网连接请求通过DHCP功能转交给Win2008系统的网络访问保护功能进行处理。依次单击服务器系统桌面中的“开始”/“程序”/“管理工具”/“服务器管理器”/“DHCP”选项,进入DHCP服务器控制台界面,打开目标作用域的属性界面,点选该界面中的“网络访问保护”选项卡,在对应选项设置页面中选中“对此作用域启用”选项,同时选中“使用默认网络访问保护配置文件”,最后单击”确定“按钮执行设置保存操作。 通过上述五个步骤的操作之后,用户就可以轻松地在windows2008系统下开启网络访问功能,只要有存在威胁的计算机要连接入网时,就会受到win2008网络访问保护功能的控制,以免将病毒传染给其他计算机,保证了局域网内的网络安全。
8. 服务器双网卡,如何实现内网对外网的访问控制,在线等答案,急,谢谢!
第一个问题不知道是什么意思!
如果你像让内网能访问外网,外网不能访问内网的话, 你可以在路由器上做 NAT
进行流量控制可以在交换机上做QOS 进行流量限速!
9. 怎么设置电脑(服务器)在互连网上的访问权限
使用 remote access 选项可以从运行 Microsoft SQL Server 实例的本地或远程服务器上控制存储过程的执行。将 remote access 设置为 1(默认值)表示允许从远程服务器执行本地存储过程或从本地服务器执行远程存储过程。将此选项设置为 0 表示阻止本地存储过程在远程服务器上执行或远程存储过程在本地服务器上执行。
remote access 选项仅适用于使用 sp_addserver 添加的服务器,包括此选项是为了向后兼容。
该设置在服务器重新启动后生效。
10. 如何阻止对服务器的非法网络访问
答1:
每一台客户机都可以访问对方的网络账户。要阻止这种事情发生,把本地管理员账户名称改为用户不知道的其它名称。这很容易做到,简单地通过组策略就可以实现。我还要修改域控制器和工作站账户。这将迫使每一个人都使用分配给他们的域用户账户。如果你要查看谁试图访问这个账户,你可以创建一个虚假的、关闭功能的管理员账户,并把这个账户用于安全登录的目的。">这听起来好像是所有这些系统都是使用同样的用户名和口令创建的。我倾向于认为他们在使用“管理员”用户名。而且,如果这个“管理员”账户在这两台计算机上都有,并且这个账户的口令是“p@ssw0rd”,每一台客户机都可以访问对方的网络账户。要阻止这种事情发生,把本地管理员账户名称改为用户不知道的其它名称。这很容易做到,简单地通过组策略就可以实现。我还要修改域控制器和工作站账户。这将迫使每一个人都使用分配给他们的域用户账户。如果你要查看谁试图访问这个账户,你可以创建一个虚假的、关闭功能的管理员账户,并把这个账户用于安全登录的目的。
答2:
我会检查域安全政策和本地安全政策。确认每一个人都加入了这个域,而且你的许可没有限制。用户必须获得批准才能访问这个域和资源。你在管理工具中能够发现大多数这些内容。删除在XP主机中的工作组PC(输入域名系统前缀并且选择“改变域名系统前缀”)。
答3:
要限制本地登录,你可以使用组策略。有一种安全设置可以在组策略中进行设置。阅读微软知识库中编号823659的文章可以了解这种设置方法。
你还可以修改NTFS(新技术文件系统)安全设置来控制最终用户访问的文件/文件夹。设置这个功能,这样只有获得批准的域的未经授权的用户能够访问你认为可以访问的内容。
如果你知道正在使用的用户名和口令是什么,修改这些用户名和口令。如果这是本地计算机管理员的账户,有许多可用的脚本能够很方便地进行这种修改。共2页。
答4:
你好像有一个像工作组一样工作的域。如果你拥有这个权限,创建一个与本地账户名称不同的域账户。然后,然后关闭用来绕过域安全措施的任何域账户(或者至少要修改口令),强制用户使用他们的域账户。你需要确认用户必须使用他们自己的域账户访问他们在服务器上需要的资源。
然而,要记住,我在推测工作站是域成员。一旦用户开始使用域账户登录,你就可以使用组和策略来管理他们。
对于记录来说,DHCP服务器是什么设备都没有关系,只要它能够提供合适的地址和你的环境选项就行。路由器对于一个单个的子网是一种合理的选择。由于路由器没有硬盘,路由器可能会比服务器更可靠。
答5:
我是这样做的。首先,进入“开始”->“程序”->“管理工具”->域控制器安全策略。然后进入安全选项。
下一步,验证如下两个项目:
网络接入:允许“每一个人”申请匿名用户--->关闭。
网络接入:不允许匿名列举存储域管理账户和共享--->打开。
选择这两个选项应该能够纠正匿名访问问题。
最后,我会验证这些用户登录使用的本地账户与你的预的账户不一样,或者是你域控制器本地的账户。如果你让他们相同的话,这些用户名可以是一样的。但是,你必须确认口令是不同的,而且用户不知道这个口令是什么。因此,如果这些用户名是相同的,域将提示用户输入口令。遗憾的是Windows仅证实用户名,不验证这种安全识别符号。按照这些步骤应该能够解决你的服务器的未经授权的访问难题。