• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看

      ?

      RD網(wǎng)關(guān)提高終端服務(wù)安全性

      2017-03-10 15:48:19
      網(wǎng)絡(luò)安全和信息化 2017年2期
      關(guān)鍵詞:遠(yuǎn)程桌面網(wǎng)關(guān)密碼

      引言:將終端服務(wù)主機(jī)直接連接到Internet上是比較危險(xiǎn)的。而使用RD網(wǎng)關(guān),不僅可以對連接者進(jìn)行安全驗(yàn)證,而且可以通過SSL協(xié)議對其進(jìn)行加密傳輸。即使內(nèi)網(wǎng)中存在多臺(tái)終端服務(wù)器,也可以讓連接者順利對其進(jìn)行訪問。

      通常,只要黑客探測到了遠(yuǎn)程桌面/終端服務(wù)器主機(jī)的IP,洞悉了賬戶名稱及密碼,就可以毫不費(fèi)力的對其進(jìn)行遠(yuǎn)程控制。因此,將終端服務(wù)主機(jī)直接連接到Internet上是比較危險(xiǎn)的。另外,如果局域網(wǎng)中存在多臺(tái)終端服務(wù)器,往往需要在防火墻上使用不同的端口將其發(fā)布到Internet上,給用戶的連接帶來了不便。

      在Windows Server 2008中,雖然可以使用TS網(wǎng)關(guān),來對連接的身份進(jìn)行驗(yàn)證,來保護(hù)內(nèi)網(wǎng)的終端服務(wù)器的安全。同Windows Server 2008 R2中的RD網(wǎng)關(guān)相比,其安全性較差。使用RD網(wǎng)關(guān),不僅可以對連接者進(jìn)行安全驗(yàn)證,而且可以通過SSL協(xié)議對其進(jìn)行加密傳輸。即使內(nèi)網(wǎng)中存在多臺(tái)終端服務(wù)器,也可以讓連接者順利對其進(jìn)行訪問。

      安裝RD網(wǎng)關(guān)服務(wù)器

      為保證客戶端使用遠(yuǎn)程桌面連接安全傳輸數(shù)據(jù),必須在RD網(wǎng)關(guān)服務(wù)器上安裝SSL安全證書。為便于使用,應(yīng)先創(chuàng)建允許訪問終端服務(wù)的賬戶和組。

      在Windows Server 2008 R2中打開服務(wù)器管理器窗口,運(yùn)行“添加角色向?qū)А背绦?,在“選擇服務(wù)器角色”窗口中選擇“遠(yuǎn)程桌面服務(wù)”,在“下一步”窗口中點(diǎn)擊“遠(yuǎn)程桌面服務(wù)簡介信息”。點(diǎn)擊“下一步”,選擇“遠(yuǎn)程桌面網(wǎng)關(guān)”項(xiàng),在彈出的窗口中點(diǎn)擊“添加所需的角色服務(wù)”按鈕。在“下一步”窗口中選擇“為SSL加密選擇現(xiàn)有證書(推薦)”項(xiàng),點(diǎn)擊“導(dǎo)入”按鈕導(dǎo)入已安裝的服務(wù)器身份驗(yàn)證證書。在客戶端和遠(yuǎn)程桌面通訊時(shí)可使用SSL協(xié)議加密通訊數(shù)據(jù)。

      點(diǎn)擊“下一步”按鈕,選擇“現(xiàn)在”項(xiàng),在“下一步”窗口中配置可以通過Rd網(wǎng)關(guān)的用戶組,默認(rèn)包含Administrato rs組。點(diǎn)擊“添加”按鈕,將允許連接遠(yuǎn)程桌面的用戶組添加進(jìn)來。在“下一步”窗口中可以更改RD CAP名稱,選擇“密碼”項(xiàng),作為身份驗(yàn)證方式。點(diǎn)擊“下一步”按鈕,在“選擇角色服務(wù)”窗口中勾選“網(wǎng)絡(luò)策略服務(wù)器”項(xiàng),之后系統(tǒng)會(huì)顯示需要安裝IIS中的相關(guān)服務(wù),在“下一步”窗口中顯示所需安裝的相關(guān)服務(wù)項(xiàng),點(diǎn)擊“安裝”,執(zhí)行安裝動(dòng)作,在之后的安裝結(jié)果窗口中顯示所有的角色和服務(wù)安裝成功。

      獲取數(shù)字證書

      數(shù)字證書的獲得可以用多種方法實(shí)現(xiàn)。例如,可以使用自簽名證書功能。依次點(diǎn)擊“開始”、“所有程序”、“管理工具”、“遠(yuǎn)程桌面服務(wù)”、“遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)器”項(xiàng),在打開窗口左側(cè)選擇本地服務(wù)器,在右側(cè)窗口中“操作”欄中點(diǎn)擊“屬性”項(xiàng),在RD網(wǎng)關(guān)屬性窗口中的“SSL證書”面板中選擇“創(chuàng)建自簽名證書”項(xiàng),點(diǎn)擊“創(chuàng)建并導(dǎo)入證書”按鈕輸入名稱。

      勾選“存儲(chǔ)根證書”項(xiàng),點(diǎn)擊“瀏覽”按鈕,選擇證書文件存儲(chǔ)位置。點(diǎn)擊“確定”按鈕,完成證書文件的創(chuàng)建操作。之后根據(jù)提示信息重啟RD網(wǎng)關(guān)服務(wù)器。重啟之后,在IE地址欄中輸入網(wǎng)關(guān)域名來查看該值證書是否已生效。在服務(wù)器管理器窗口左側(cè)依次選擇“遠(yuǎn)程桌面服務(wù)”、“RD會(huì)話主機(jī)配置”項(xiàng),在右側(cè)窗口中的“RDPTCP”項(xiàng)的右鍵菜單中選擇“屬性”項(xiàng),在其屬性窗口的“常規(guī)”面板中的“證書”欄中點(diǎn)擊“選擇”按鈕,在證書列表中選擇上述證書項(xiàng)目,點(diǎn)擊“確定”完成操作,之后即可在遠(yuǎn)程桌面環(huán)境中對RD網(wǎng)關(guān)服務(wù)器和客戶機(jī)之間的通訊進(jìn)行加密,并且在遠(yuǎn)程桌面RDP-TCP連接之間也啟用加密功能。

      在Windows Server 2008 中可以創(chuàng)建證書服務(wù)器,可以滿足證書的發(fā)布、申請、安裝、創(chuàng)建等操作。Windows Server 2008支持應(yīng)用于企業(yè)內(nèi)部的證書服務(wù)器和用于Internet的獨(dú)立證書服務(wù)器,前者應(yīng)用于域環(huán)境,需要活動(dòng)目錄的支持,用戶可以直接向證書服務(wù)器申請并安裝證書。后者應(yīng)用于非域環(huán)境,可以安裝到任何一臺(tái)獨(dú)立的服務(wù)器上,當(dāng)用戶向證書服務(wù)器申請證書時(shí),必須經(jīng)由管理員檢查后辦法才可以頒發(fā)使用。在部署了證書服務(wù)器后,服務(wù)器的名稱和域名均不可更改,但是可以更改IP地址。

      配置連接授權(quán)和資源授權(quán)策略

      為保證遠(yuǎn)程桌面連接的安全性,需要在安裝RD網(wǎng)關(guān)的主機(jī)上創(chuàng)建授權(quán)策略,其包括連接授權(quán)策略CAP和資源授權(quán)策略RAP兩部分。連接授權(quán)的策略的作用是檢查訪問者是否符合要求。只有符合要求的連接者才可以連接到RD網(wǎng)關(guān)。資源授權(quán)策略的用途是指定訪問者可以通過RD網(wǎng)關(guān)連接到的內(nèi)部的何種資源上。

      在運(yùn)行RD網(wǎng)關(guān)服務(wù)的主機(jī)上依次點(diǎn)擊“開始”、“管理工具”、“遠(yuǎn)程桌面服務(wù)”、“遠(yuǎn)程桌面網(wǎng)關(guān)”項(xiàng),在RD網(wǎng)關(guān)管理器左側(cè)的“策略”項(xiàng)的右鍵菜單上點(diǎn)擊“創(chuàng)建授權(quán)策略”項(xiàng),在彈出窗口中選擇“創(chuàng)建RD CAP和RD RAP”項(xiàng),表示同時(shí)創(chuàng)建終端服務(wù)連接授權(quán)策略和管理終端服務(wù)資源授權(quán)策略。點(diǎn)擊“下一步”按鈕,輸入連接授權(quán)策略的名稱。在“下一步”窗口中選擇“密碼”項(xiàng),表示使用密碼安全認(rèn)證機(jī)制。在“用戶組成員身份”欄中點(diǎn)擊“添加組”按鈕,在彈出窗口中搜索并選擇所需的用戶組,將其導(dǎo)入。點(diǎn)擊“下一步”按鈕,選擇“啟用所有客戶端設(shè)備的設(shè)備重定向”項(xiàng),可以將客戶端的磁盤、打印機(jī)等設(shè)備重定向到被控端。在“下一步”窗口中勾選“啟用空閑超時(shí)”項(xiàng),可設(shè)置合適的時(shí)間值。這樣在遠(yuǎn)程連接建立后,如空閑的時(shí)間超過該值,會(huì)自動(dòng)斷開會(huì)話。勾選“啟用會(huì)話超時(shí)”項(xiàng),設(shè)置合適的時(shí)間值。這樣,當(dāng)連接會(huì)話的時(shí)間到達(dá)該值后,可以采取另種處理方法,一種是斷開會(huì)話連接。一種是斷開連接后自動(dòng)執(zhí)行驗(yàn)證和重新授權(quán)。

      依次點(diǎn)擊“下一步”按鈕,在創(chuàng)建RD RAP窗口中輸入資源授權(quán)策略名稱。在“下一步”窗口中添加和選擇對應(yīng)的用戶組,使其可以通過RD網(wǎng)關(guān)連接到目標(biāo)內(nèi)網(wǎng)資源。點(diǎn)擊“下一步”按鈕,在選擇網(wǎng)絡(luò)資源窗口中選擇允許訪問的資源,可以選擇Active Directory域服務(wù)網(wǎng)絡(luò)資源組、RD網(wǎng)關(guān)服務(wù)器場成員列表等。這里選擇“允許用戶連接到任意網(wǎng)絡(luò)資源(計(jì)算機(jī))”項(xiàng),表示允許連接者訪問內(nèi)網(wǎng)中的所有主機(jī)。在“下一步”窗口中選擇允許的TCP端口,默認(rèn)為TCP 3389端口。也可以選擇“允許通過以下端口連接”項(xiàng),設(shè)置別的端口,讓連接者通過該端口遠(yuǎn)程連接網(wǎng)絡(luò)資源。在“下一步”窗口中點(diǎn)擊“完成”按鈕,完成終端策略的創(chuàng)建操作。

      開啟內(nèi)網(wǎng)主機(jī)遠(yuǎn)程桌面/終端服務(wù)

      在默認(rèn)情況下,Windows服務(wù)器是禁止使用遠(yuǎn)程桌面連接的,為此,可以在服務(wù)器管理器窗口中展開“服務(wù)器摘要”、“計(jì)算機(jī)信息”項(xiàng),在其中點(diǎn)擊“配置遠(yuǎn)程桌面”鏈接,在彈出窗口中的“遠(yuǎn)程”面板中選擇“僅允許經(jīng)使用網(wǎng)絡(luò)級別身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)連接(更安全)”項(xiàng),在彈出的提示窗口中點(diǎn)擊“確定”按鈕,啟用遠(yuǎn)程桌面的防火墻例外功能。點(diǎn)擊“選擇用戶”按鈕,在遠(yuǎn)程桌面用戶窗口中顯示可以使用遠(yuǎn)程桌面連接的賬戶,默認(rèn)只域管理員賬戶。點(diǎn)擊“添加”按鈕,可以將所需的賬戶和組添加進(jìn)來。

      在客戶端配置安全證書

      當(dāng)客戶端用戶想通過RD網(wǎng)關(guān)建立遠(yuǎn)程桌面連接,必須通過身份驗(yàn)證環(huán)節(jié)。在安裝RD網(wǎng)關(guān)服務(wù)時(shí),已經(jīng)提前在服務(wù)器中申請了數(shù)字證書,只有將該證書安裝到客戶機(jī)上才可以在客戶端和RD網(wǎng)關(guān)服務(wù)器之間建立信任關(guān)系,讓客戶端可以通過RD網(wǎng)關(guān)的身份驗(yàn)證操作。在客戶機(jī)上打開IE瀏覽器,在地址欄中輸入證書服務(wù)器的地址。在彈出的登錄窗口中輸入域用戶管理員名稱和密碼,點(diǎn)擊“確定”按鈕,在證書服務(wù)頁面中點(diǎn)擊“下載CA證書,證書鏈或CRL”鏈接,在彈出頁面中點(diǎn)擊“下載CA證書”鏈接,在文件下載窗口中點(diǎn)擊“保存”按鈕,將證書文件保存到本機(jī)中。在該證書文件的屬性窗口中點(diǎn)擊“安裝證書”按鈕,在證書導(dǎo)入向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕,在證書存儲(chǔ)窗口中點(diǎn)擊“瀏覽”按鈕,選擇“受信任的跟證書頒發(fā)機(jī)構(gòu)”項(xiàng),在“下一步”窗口中點(diǎn)擊“完成”按鈕完成操作。

      連接RD網(wǎng)關(guān),控制內(nèi)網(wǎng)終端服務(wù)器

      當(dāng)然,RD網(wǎng)關(guān)的應(yīng)用很廣泛,管理遠(yuǎn)程桌面只是其功能之一。讓客戶端可以通過遠(yuǎn)程桌面連接程序,經(jīng)由RD網(wǎng)關(guān)遠(yuǎn)程管理服務(wù)器。運(yùn)行“mstsc.exe”程序,在遠(yuǎn)程桌面連接窗口中點(diǎn)擊“選項(xiàng)”按鈕,在“高級”面板中的“如果實(shí)際驗(yàn)證不滿足最低策略要求”列表中選擇“向我發(fā)出警告”項(xiàng)。點(diǎn)擊“設(shè)置”按鈕,在設(shè)置界面中選擇“使用這些TS網(wǎng)關(guān)服務(wù)器設(shè)置”項(xiàng),輸入RD網(wǎng)關(guān)服務(wù)器的域名,注意不是IP地址。否則的話將無法正常連接,系統(tǒng)會(huì)提示服務(wù)器地址與證書使用者名稱匹配等信息。這樣,客戶端主機(jī)必須可以正確解析該域名。

      如果是局域網(wǎng)環(huán)境,可以直接執(zhí)行驗(yàn)證操作。所以可以選擇“跳過本地地址的TS網(wǎng)關(guān)服務(wù)器”項(xiàng),如果RD網(wǎng)關(guān)服務(wù)器與內(nèi)網(wǎng)中受保護(hù)的終端服務(wù)器的密碼相同,可以選中“將我的RD網(wǎng)關(guān)憑據(jù)用于遠(yuǎn)程計(jì)算機(jī)”單選框,如果不同則無需選擇該項(xiàng)。保存設(shè)置后,在遠(yuǎn)程桌面連接窗口中“常規(guī)”面板中輸入終端服務(wù)器的IP或者名稱,注意,RD網(wǎng)關(guān)服務(wù)器和終端服務(wù)器是有區(qū)別的,終端服務(wù)器可以隱藏在RD網(wǎng)關(guān)服務(wù)器的后面。RD網(wǎng)關(guān)服務(wù)器可以在Internet上擁有獨(dú)立的域名,而終端服務(wù)器只是內(nèi)網(wǎng)主機(jī),只擁有內(nèi)網(wǎng)地址,RD網(wǎng)關(guān)服務(wù)器可以同時(shí)擁有外網(wǎng)和內(nèi)網(wǎng)地址。而且終端服務(wù)器可能有多臺(tái),用戶只需更改連接的IP即可,而連接參數(shù)中的RD網(wǎng)關(guān)的域名是不能更改的。

      例如RD網(wǎng)關(guān)域名為“rdp.fdckln.com”, 而內(nèi)網(wǎng)終端服務(wù)器的IP為“192.168.11.11”等。點(diǎn)擊“連接”按鈕后,在輸入用戶憑證窗口中輸入服務(wù)器上的對應(yīng)賬戶名和密碼,該賬戶必須在預(yù)設(shè)的允許連接遠(yuǎn)程桌面的賬戶列表中。點(diǎn)擊“確定”按鈕,在“網(wǎng)關(guān)服務(wù)器憑據(jù)”窗口中輸入具有連接終端服務(wù)器的域用戶名和密碼,當(dāng)通過RD網(wǎng)關(guān)的身份認(rèn)證后,就可以安全的連接到服務(wù)器的遠(yuǎn)程桌面環(huán)境中,對其進(jìn)行遠(yuǎn)程控制。

      使用Web方式,控制內(nèi)網(wǎng)服務(wù)器

      除了使用常規(guī)的連接程序外,還可以使用IE瀏覽器操控終端服務(wù)。當(dāng)然,前提是必須在RD服務(wù)器上需要安裝遠(yuǎn)程桌面Web訪問組件,并且在客戶端配置和RD網(wǎng)關(guān)安全通訊的證書文件。在IE中輸入終端服務(wù)器網(wǎng)址。如果在RD網(wǎng)關(guān)服務(wù)器的Web訪問站點(diǎn)激活了Windows身份驗(yàn)證功能,就會(huì)顯示認(rèn)證窗口,輸入擁有允許訪問RD網(wǎng)關(guān)服務(wù)器的賬戶名和密碼,通過認(rèn)證后,在遠(yuǎn)程桌面服務(wù)默認(rèn)連接頁面頂部點(diǎn)擊“運(yùn)行ActiveX空間”提示欄,安裝所需的ActiveX組件。

      在“域/用戶名”欄中輸入允許連接到RD網(wǎng)關(guān)的賬戶名,在“密碼”欄中輸入其密碼。該賬戶必須預(yù)先在RD授權(quán)策略中配置。點(diǎn)擊“登錄”按鈕,連接到RD網(wǎng)關(guān)服務(wù)器,當(dāng)連接成功后,點(diǎn)擊“遠(yuǎn)程桌面”鏈接,在“連接選項(xiàng)”欄中輸入終端服務(wù)器的內(nèi)網(wǎng)IP地址,設(shè)置遠(yuǎn)程桌面尺寸。在“設(shè)備和資源”欄中選擇需要重定向的設(shè)備。點(diǎn)擊“連接”按鈕,在彈出窗口中勾選“剪切板”和“打印機(jī)”項(xiàng),可以讓遠(yuǎn)程主機(jī)使用客戶機(jī)的剪切板和打印機(jī)資源。點(diǎn)擊“連接”按鈕,在輸入憑據(jù)窗口中輸入允許登錄終端服務(wù)器的賬戶名和密碼,點(diǎn)擊“確定”按鈕進(jìn)入遠(yuǎn)程桌面使用環(huán)境,可對遠(yuǎn)程主機(jī)進(jìn)行各種控制操作。

      對RD網(wǎng)關(guān)進(jìn)行管理和監(jiān)控

      當(dāng)客戶端通過RD網(wǎng)關(guān)連接到被控機(jī)后,在RD網(wǎng)關(guān)服務(wù)器上可以對其活動(dòng)進(jìn)行全面監(jiān)控。在RD網(wǎng)關(guān)管理器窗口左側(cè)選擇“監(jiān)視”項(xiàng),在右側(cè)窗口顯示正在進(jìn)行的所有連接項(xiàng)目,包括連接的ID、用戶ID、用戶名等信息。對于可疑的連接項(xiàng)目,可以在其右鍵菜單上點(diǎn)擊“斷開此用戶的連接”項(xiàng),可以斷開該用戶的所有連接。如果點(diǎn)擊“斷開此鏈接”項(xiàng),僅僅斷開選定的連接。

      猜你喜歡
      遠(yuǎn)程桌面網(wǎng)關(guān)密碼
      密碼里的愛
      密碼疲勞
      英語文摘(2020年3期)2020-08-13 07:27:02
      基于改進(jìn)RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計(jì)
      實(shí)戰(zhàn)Windows Server 2008 R2遠(yuǎn)程桌面服務(wù)
      安裝遠(yuǎn)程桌面服務(wù)
      為Windows 2012指定授權(quán)服務(wù)器
      監(jiān)控遠(yuǎn)程用戶行為
      密碼藏在何處
      LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
      奪命密碼
      绵阳市| 子洲县| 白山市| 霍邱县| 来凤县| 阳曲县| 高青县| 红安县| 广昌县| 保靖县| 全南县| 浦北县| 会泽县| 中江县| 隆德县| 宝应县| 南汇区| 阿鲁科尔沁旗| 广水市| 木兰县| 竹北市| 洪雅县| 株洲市| 天气| 武定县| 濮阳县| 台江县| 凤城市| 同仁县| 开封市| 宜黄县| 邵阳市| 西吉县| 施甸县| 穆棱市| 若尔盖县| 襄城县| 凉城县| 三门峡市| 丽江市| 马公市|