网络管理员经常会通过Terminal
Services来实现远程控制桌面和服务器管理。但是任何时候一个远程控制沟通被设定,就同时会产生一个潜在的安全漏洞,因此你要使自己熟悉Terminal
Services的内建安全控制。你需要了解他们来保护你的系统,而且如果你正在准备参加Windows 2000 Network Security Design考试(Exam
70-220),你在考试中就会遇到这方面的问题。
使用Terminal Services,你可以:
-
管理分布式文件系统(Dfs)支持
-
创建,删除并管理Terminal Services进程
-
在远程系统上监控系统性能
-
给用户发送管理信息
-
执行远程管理
-
浏览并控制别的进程
-
配置网络负载平衡
不要忘记基本原理
任何获得管理许可和权利来使用Terminal Services的管理功能的用户都可以远程地对桌面和安装有Terminal Services的服务器进行配置。两项简单的安全措施可以防止未经认可的改变的出现。第一,不要将Terminal Services管理权利给予那些不应该对桌面和服务器进行管理的用户。在Windows 2000之中,你可以根据用户的级别指定Terminal Services的管理权利。第二,不要在不需要Terminal Services的系统上安装Terminal Services。在客户机和服务器上去掉不需要的Terminal Services。
Terminal Services还具有一些可以显著提高安全性的功能。例如,你可以对Terminal Services进程进行加密并限制登陆失败的次数甚至是连接时间。
Terminal Services还可以在防火墙保护下的网络之中工作。由于Terminal Services依靠Remote Desktop Protocol (RDP)来实现很多任务,因此你只需要记住开放端口3389使RDP正常地通行。
加密是关键
Terminal Services支持三个级别的加密。低级加密对客户机向服务器发送的沟通信息进行加密。当使用低级加密时,在Windows 2000系统中为56位的加密,而早期的Windows版本则是40位加密。
中级加密对客户机发送给服务器和服务器发送给客户机的沟通信息进行加密。这里,Windows 2000系统中还是56位加密,Windows的旧版本为40位加密。微软公司推荐在由服务器向客户机系统发送敏感数据时使用中级加密。
当使用高级加密时,在客户机和服务器之间双向交换的沟通信息都进行128位加密。在考试中,要记住128位加密的选项只有在美国和加拿大才可用。
用户评论