网络管理员经常会通过Terminal Services来实现远程控制桌面和服务器管理。但是任何时候一个远程控制沟通被设定,就同时会产生一个潜在的安全漏洞,因此你要使自己熟悉Terminal Services的内建安全控制。你需要了解他们来保护你的系统,而且如果你正在准备参加Windows 2000 Network Security Design考试(Exam 70-220),你在考试中就会遇到这方面的问题。
使用Terminal Services,你可以:
◇管理分布式文件系统(Dfs)支持
◇创建,删除并管理Terminal Services进程
◇在远程系统上监控系统性能
◇给用户发送管理信息
◇执行远程管理
◇浏览并控制别的进程
◇配置网络负载平衡
不要忘记基本原理
任何获得管理许可和权利来使用Terminal Services的管理功能的用户都可以远程地对桌面和安装有Terminal Services的服务器进行配置。两项简单的安全措施可以防止未经认可的改变的出现。第一,不要将Terminal Services管理权利给予那些不应该对桌面和服务器进行管理的用户。在Windows 2000之中,你可以根据用户的级别指定Terminal Services的管理权利。第二,不要在不需要Terminal Services的系统上安装Terminal Services。在客户机和服务器上去掉不需要的Terminal Services。
Terminal Services还具有一些可以显著提高安全性的功能。例如,你可以对Terminal Services进程进行加密并限制登陆失败的次数甚至是连接时间。
Terminal Services还可以在防火墙保护下的网络之中工作。由于Terminal Services依靠Remote Desktop Protocol (RDP)来实现很多任务,因此你只需要记住开放端口3389使RDP正常地通行。
加密是关键
Terminal Services支持三个级别的加密。低级加密对客户机向服务器发送的沟通信息进行加密。当使用低级加密时,在Windows 2000系统中为56位的加密,而早期的Windows版本则是40位加密。
中级加密对客户机发送给服务器和服务器发送给客户机的沟通信息进行加密。这里,Windows 2000系统中还是56位加密,Windows的旧版本为40位加密。微软公司推荐在由服务器向客户机系统发送敏感数据时使用中级加密。
当使用高级加密时,在客户机和服务器之间双向交换的沟通信息都进行128位加密。在考试中,要记住128位加密的选项只有在美国和加拿大才可用。
管理连接许可也很重要
你可以通过对许可的调整来进一步锁定Terminal Services进程。许可可以被应用于用户,组和在本地与可信任区域中的计算机之中。
Terminal Services中自动安装的标准TCP/IP连接中缺省设置了几个许可:
◇系统
◇管理员
◇用户
◇客人
在缺省情况下,系统和管理员组提供了同样的许可。两个组都给用户提供了全面控制,意味着用户可以实现所有Terminal Services的功能,包括创建并结束进程,加入进程,查看进程信息,改变连接设置,执行远程管理任务和发出用户消息。
用户许可提供的能力包括登陆一个进程,查看一个进程的信息,给其它的用户发送信息和连接其他的进程。而客人许可仅允许登陆一个进程。
所有的许可都可以根据需要进行定制。你只需要记住调整Terminal Services的许可要求的是,对改变进行配置的用户需要拥有管理权利。
网络管理员经常会依靠于Terminal Services,而且它的使用经常扩展到企业级用户中。不论是谁在使用Terminal Services,你都必须要知道如何使用缺省的安全功能来保护你的网络。Terminal Services安全问题也会在Windows 2000 Network Security Design考试之中出现。你要确保自己搞懂了RDP通信开放端口的需要,不同加密级别的工作性能,某种许可赋予何种权利等内容。