聚焦Windows 2008终端处事安详题目

　　在Windows Server 2008的终端处事(Terminal Services)中最大的亮点就是整体安详性的进步，作为打点员和用户最常行使的长途会见处事器之一，这种安详性的进步也并不让人不测，而且很是受到各人的接待。在本文中我们将接头奈何做才气确保你的终端处事器(Terminal Server)情形越发安详。

　　行使双重身分验证

　　当我们在思量收集安详时，我们有须要举办双重身分验证。

　　今朝首要有齐集差异情势的双重身分验证方法，不外最常用的是终端处事所支持的智能卡(Smart Card)。在行使智能卡时，用户不只必要提供有用的登录凭据，并且他们必需可以或许提供智能卡毗连到他们用于作为长途终端的装备。

　　为了获取智能卡验证，你必需建设一个可以或许运用到终端处事器的组计策工具(Group Policy Object)。在组计策工具中，赏识Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options，并启用Interactive Logon: Require Smart Card配置。另外，你将必要启用智能卡从头定位到终端处事器，可以通过在用户事变组上的长途桌面毗连客户端的当地资源选项中，勾选智能卡选项。

　　为全部客户端执行收集级此外身份验证

　　在已往，在处事器上陈设终端处事验证是通过毗连处事器上的会话(session)然后在Windows Server登录屏幕中输入登录凭据。这听起来好像很是贫困，可是从安详的角度来看，可以或许启动session登录屏幕也许会袒露关于收集的信息(域名，计较机名称等)可能也许让处事器受到拒绝处事进攻，这种进攻首要来自拥有处事器公用IP地点的人。

　　收集级身份验证(NLA)是长途桌面毗连客户端(Remote Desktop Connection Client)6.0版本中新加的成果，该成果可以在向用户表现Windows Server登录界面之前应承用户输入他们的登录凭据。Windows Server 2008使我们可以或许操作这项成果并要求全部毗连客户端行使该成果。

　　要想行使NLA，你必需行使Windows 2008 Server，而且你的毗连客户端必需可以或许支持CredSSP(Windows XP SP3、Windows Vista、 Windows 7)以及运行Remote Desktop Connection 6.0可能更高版本的长途桌面毗连。你同样也可以设置终端处事器，要求其客户端在几个差异位置行使NLA：

　　在最初的终端处事脚色安装进程中，当终端处事器屏幕表现出指定验证要领时，选择Allow connections only from computers running Remote Desktop with Network Level Authentication(仅应承运行收集级身份验证的长途桌面的计较机发送的毗连)选项。

　　在终端处事设置MMC打点单位中，右键单击你的客户端行使的终端处事器毗连，然后选择属性，选择Allow connections only from computers running Remote Desktop with Network Level Authentication选项

　　建设一个组计策工具，查察Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerSecurity位置，启用Require user authentication for remote connections by using Network Level Authentication(要求行使收集级此外身份验证举办长途毗连的用户验证)配置。

　　内容导航

　　变动默认RDP端口

　　默认环境下，终端处事器行使的是端口3389来举办RDP通讯。而凡是环境下，天下上的全部黑客都知道终端处事器行使的是端口3389举办RDP通讯。在这种环境下，进步终端处事器情形安详以及抵制黑客进攻的最将近领就是变动这种默认端口分派配置。

　　要想变动终端处事器的默认RDP端口配置，打开注册表，赏识：HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp，找到PortNumber密钥并将十六进位值00000D3D(相等于端口3389)代替为其他恰当的十六进位值。

　　其它，你也可以变动终端处事器行使的端标语码(基于每次毗连)，同样行使注册表，赏识HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsconnection name，再次找到PortNumber密钥然后将十六进位代替为你想要的恰当的值。

　　请记着，当对处事器的这些配置举办变动时，全部的毗连客户端必需确保行使标志随处事器IP地点上的新端口扩展来毗连到终端处事。举例来说，行使内部IP地点(192.168.0.1)毗连到终端处事器，而此刻行使的长短尺度端口8888的话，将要求用户输入192.168.0.1:8888到长途桌面毗连客户端。

　　内容导航

　　行使Easy Print和限定从头定向的打印机

　　从当地毗连到客户端事变组的装备中举办打印，一向都是Windows Server2008之前版本中的终端装备的弱点，为了做到这一点，你必需确保在客户端和处事器安详了版本完全沟通的打印机驱动措施，并且纵然云云，也不必然老是能正常打印。从安详的角度来看，我们从来都不想在我们的体系上安装更多的驱动措施，除非须要环境。安装在处事器上的每个驱动措施都有也许扩大隐藏进攻范畴。

　　Windows Server2008中新增了被称为Easy Print(浅显打印)的成果，这从基础上改变了当地毗连打印机的处理赏罚方法。从本质上来说，TS Easy Print是一个驱动措施，可以或许作为署理将全部通过的数据举办从头定向。当客户端行使浅显打印驱动措施从装备打印时，数据和打印配置都将转换为常用名目发送给终端处事器举办处理赏罚。在这个进程中，点击打印后，打印对话框是从客户端弹出的，而不是从终端会话中弹出的，这意味着不必要在终端处事器上安装驱动措施来处理赏罚当地打印装备的打印事变。

　　为了设置浅显打印，你必要确保全部的当地毗连打印装备都有逻辑打印机，并在客户端事变组设置为行使浅显打印驱动措施。全部运行长途桌面毗连6.1或更高版本以及.NET Framework 3 SP1的全部Windows XP SP3、Vista和Windows 7都支持浅显打印成果。

　　只要你已经在事变组级别设置好当地毗连装备，最好就是确保只有行使TS Easy Print的打印机才气够被从头定向到终端处事器，并应配置为默认打印机。想要实现这一点，可以建设一个组计策工具并赏识到Computer Configuration Administrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerPrinter Redirection，启用Redirect only the default client printer(仅对默认客户端打印机举办从头定向)选项。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!