史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   Win XP遠端控制時如何保證安全 (http://forum.slime.com.tw/thread118512.html)

psac 2004-07-27 04:25 PM

Win XP遠端控制時如何保證安全
 
跟其他遠端控制技術類似,遠端協助和遠端桌面同樣要在使用前考慮好安全問題。


對於最進階別的安全要求,根本不建議在實際套用中使用遠端控制技術,不過要明白這種技術也能給用戶帶來便利。本章會就使用遠端控制技術時保證安全性的方法進行說明。

  遠端協助

  遠端協助(RA,Remote Assistance)技術允許用戶(邀請者)通過網路邀請其他人(受邀者)通過完了過解決自己遇到的實際問題。


使用這種方法受邀者可以檢視邀請者的電腦螢幕並且互交流資訊,同時,如果邀請者允許,受邀者還可以通過網路操作邀請者的電腦直接解決問題。邀請者可以決定受邀者的權限到底是僅螢幕檢視還是具有控制權。要使用遠端協助,雙方都需要使用Windows XP操作系統。

  遠端協助可以由邀請者發起,這叫請求遠端協助;同時也可以由受邀者為邀請者提供遠端協助,這叫提供遠端協助。


HelpAssistant賬戶就是給遠端協助操作準備的,這個賬戶是在安裝系統程序中新增的,並被隨意分配一個複雜的密碼,隨後被禁用。當遠端協助邀請開啟時,用戶的電腦上會新增一個「邀請者」的票證,同時3389連接阜也會開啟,並允許到終端服務的訪問,這時HelpAssistant賬戶會被自動啟用。啟用後受邀者可以使用這個賬戶和新增的票證訪問邀請者的電腦。



如果所有的票證都被關閉或者過期,HelpAssistant賬戶會被再次自動被禁用,3389連接阜也會同時關閉。

  注意:遠端桌面功能也使用了終端服務,因此如果遠端桌面功能被啟用後,3389連接阜可能會一直開啟。

  請求方式的遠端協助

  用戶可以通過電子郵件或者Windows Messenger請求遠端協助,或者把遠端協助的請求儲存為一個文件。目前還沒辦法限制初學者邀請人,任何人只要能物理上連線到初學者的電腦就可以接受他的邀請。當一個遠端協助請求被答應後,初學者就可以看到專家的用戶名。


然而,唯一能確定連接來的用戶是正確用戶的方法是使用密碼。初學者在新增一個協助請求時可以選項用密碼保護這個協助,密碼並不包含在請求文件中,而且受邀者必須輸入正確的密碼才能建立連接,密碼可以由初學者通過其他方法發給受邀者。


不過,密碼複雜性、密碼原則還有賬戶鎖定原則等規則都不對這個密碼和賬戶生效。

  通過Windows Messenger傳送的邀請是通過明文的方式以XML格式傳送的,通過email形式傳送或者儲存的邀請文件是以MsRcIncident格式的文件傳送的,這也是一種明文的XML格式。


因此任何人只要能接觸到這些資料就都能讀出其中的內容,例如機器的IP位址、所使用的連接阜號以及邀請者是否設定了密碼保護。

  關於這些原因,對於安全要求比較嚴格的網路中,不建議使用遠端協助。


提供方式遠端協助

  提供遠端協助通常被認為是對邀請者提供遠端協助更加安全的做法。提供遠端協助僅適用於位於同一個域中或者被信任的域中的兩台電腦之間,並且通過設定允許用戶提供遠端協助。

當使用這個功能時,專家不能在沒有宣告的情況下連線到用戶的電腦,或者在沒有從用戶處獲得權限的情況下控制電腦。同時用戶也有允許或者拒絕對方連接的能力。

  要使用這種方式的遠端協助,安全配置範本的用戶權限部分必須做如下修改:

用戶權限 建議設定

允許通過終端服務登入

決定哪些用戶或者用戶組具有作為終端服務客戶端登入的能力,遠端桌面用戶需要這個權限。


如果同時還使用了遠端協助功能,應只有使用該功能的管理員具有這個權限。注意:如果要使用提供方式的遠端協助,則不用往該設定中增加任何用戶或者用戶組。


<無人>


拒絕通過終端服務登入決定哪些用戶或者用戶組被禁止作為終端服務客戶端登入,這個權限是為遠端桌面用戶使用的。

<無人>

  除此之外,為了允許用戶使用提供方式的遠端協助,還需要設定以下幾個群組原則:
  在MMC的群組原則元件中開啟GPO或者通過容器的內容-群組原則選擇項訪問GPO的連接
  如果是通過群組原則選擇項訪問,高亮選項目標GPO然後點擊編輯以訪問群組原則元件


  定位到電腦配置\管理範本\系統\遠端協助節點

  雙按右側面版的請求遠端協助

  點擊已啟用按鈕,以允許用戶請求遠端協助
  從下拉功能表中選項「只允許說明 者檢視此電腦」選項
  設定最長票證時間(值)為0以及最長票證時間(服務機構)為分鐘

  套用設定,關閉對話視窗

  注意:為了使用提供方式的遠端協助,其用請求遠端協助原則是必要的,然而,設定最長票證時間為0可以防止用戶使用請求遠端協助功能。

  雙按右側面版的提供遠端協助功能

  如果你打算允許專家在這台電腦上提供遠端協助,點擊啟用按鈕

  在下拉功能表中選項「僅允許說明 者檢視此電腦」

  警告:
建議你永遠不要允許用戶給與其他人遠端控制電腦的權限,儘管用戶可以看到對方的操作以及隨時可以收回控制權,因為要破壞一個系統治需要幾秒鐘就夠了。

  點擊說明 者:
顯示…按鈕並且把所有被允許對這台電腦提供遠端協助的用戶全部增加近來,例如有管理員,以及桌面說明 人員等。


建議限制本功能僅對確實需要的用戶開放。用戶可以以以下的格式顯示:

<域名>\<用戶名>或<域名>\<組名>

  遠端桌面連接

  遠端桌面(RD,Remote Desktop)是用在Windows XP Professional上的另一種優先功能的終端服務,它允許用戶從遠端連線到本地機,並且像直接使用那樣使用本地機的各種資源。



Windows XP Professional系統中預設情況下遠端桌面功能是被禁用的。

  遠端桌面連接是使用遠端桌面客戶端軟體進行的,XP系統中已經預設安裝了該軟體,並且Microsoft Windows 2000、NT、Windows 98和Windows 95的客戶端軟體也已經包含在了Windows XP中。遠端桌面還有一個關於ActiveX的客戶端,叫做RWDC(Remote Desktop Web Connection),可以被安裝到IIS伺服器上。



使用RDWC,任何電腦都可以通過使用支持ActiveX的瀏覽器連線到適當的網頁,下載ActiveX客戶端,然後開啟遠端桌面連接。當向XP Professional系統安裝IIS時,RWDC會被預設安裝。

  當遠端桌面被啟用後,3389連接阜被開啟以接受終端服務的訪問。所有的管理員(本地機的和域中的)以及在「遠端桌面用戶」中被列出的用戶和用戶組都可以遠端訪問該電腦。


當連接被啟用後,被連接的電腦將會被自動鎖定,如果目標電腦上已經有用戶登入,遠端的用戶將會看到一個選項,可以把目標電腦上本機登入的用戶登出,然後從遠端登入上去,但這需要遠端用戶已經被成功驗證,並且需要具有管理員權限。



  遠端桌面使用標準的Windows驗證機制,因此密碼原則和賬戶鎖定原則也可以被套用到遠端桌面,所有用於遠端桌面的賬戶都必須設定有密碼。

  注意:建議在使用遠端桌面的程序中鎖定預設的administrator賬戶並禁止該賬戶從遠端登入,不過本機登入是不受此限制的。

  要使用遠端桌面功能,安全範本中的用戶權限部分必須做如下改變:


用戶權限 建議設定

允許通過終端服務登入

決定哪些用戶或者用戶組具有通過終端服務客戶端登入的權限,遠端桌面用戶需要該權限,如果同時使用了遠端協助功能,應只有使用此功能的管理員具有該權限。



Administrators、Remote Desktop Users
拒絕通過終端服務登入決定哪些用戶或者用戶組沒有通過終端服務客戶端登入的權限,該權限是為遠端桌面用戶準備的。


<無人>

  要允許電腦接受遠端桌面連接,可以採取以下操作:

  在我的電腦上點擊滑鼠右鍵,並選項內容以開啟系統內容對話視窗

  在對話視窗中開啟遠端選擇項

  選允許用戶遠端連線到這台電腦複選框

  點擊選項遠端用戶…按鈕開啟遠端桌面用戶對話視窗

  本局本機原則的定義增加相應的用戶或者用戶組

  注意:該操作會把被選的用戶和用戶組增加到本機Remote Desktop Users用戶組中,可以通過本機電腦系統管理工具直接對加入該組的用戶和用戶組進行編輯。
群組原則-管理範本

  Terminal Services

  除了上面指出的一些設定之外,還建議對終端服務進行如下設定,並同樣作為GPO的一部分或者通過本機電腦配置套用到電腦上。

  這些對終端服務的建議設定都位於GPO的電腦配置\管理範本\Windows元件\終端服務節點下,並可以通過MMC的群組原則元件訪問。


終端服務設定同樣可以在用戶設定節點下找到,不過那裡的設定會被電腦配置下的設定覆蓋。



網路配置建議

  遠端協助和遠端桌面都使用了終端服務使得用戶可以遠端訪問本機電腦,在Windows XP系統中使用這些功能時,終端服務使用了3389連接阜。


強烈建議通過設定僅允許本機區域網路使用遠端連接功能,並且在對外防火牆或者路由器上封掉3389連接阜。

在該連接阜上所有的入站和出站連接都必須被阻止以禁止非法訪問。

如果僅阻止了入站連接,遠端協助功能還是有可能通過Windows Messenger與區域網路外部使用,因此雙向的通訊都要被阻止。

  如果需要從本機區域網路那個外使用遠端協助或遠端桌面連接,建議在防火牆或者路由器上設定過濾,以確保只有特定的IP位址可以當問到區域網路內的系統。



其他所有位址到3389連接阜的訪問都應當被禁止。


如果需要更高安全級別的保護,可以安裝一個VPN伺服器,並使用非常強的驗證方式使得少數用戶可以撥入到VPN伺服器。當然僅允許特定的IP位址可以連線到VPN伺服器也是個好方法。


所有時間均為台北時間。現在的時間是 06:38 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1