網絡管理員經常會通過Terminal Services來實現遠程控制桌面和服務器管理。但是任何時候一個遠程控制溝通被設定,就同時會產生一個潛在的安全漏洞,因此你要使自己熟悉Terminal Services的內建安全控制。你需要了解他們來保護你的系統,而且如果你正在准備參加Windows 2000 Network Security Design考試(Exam 70-220),你在考試中就會遇到這方面的問題。 使用Terminal Services,你可以: ◇管理分布式文件系統(Dfs)支持 ◇創建,,刪除並管理Terminal Services進程 ◇在遠程系統上監控系統性能 ◇給用戶發送管理信息 ◇執行遠程管理 ◇浏覽並控制別的進程 ◇配置網絡負載平衡 不要忘記基本原理 任何獲得管理許可和權利來使用Terminal Services的管理功能的用戶都可以遠程地對桌面和安裝有Terminal Services的服務器進行配置。兩項簡單的安全措施可以防止未經認可的改變的出現。第一,不要將Terminal Services管理權利給予那些不應該對桌面和服務器進行管理的用戶。在Windows 2000之中,你可以根據用戶的級別指定Terminal Services的管理權利。第二,不要在不需要Terminal Services的系統上安裝Terminal Services。在客戶機和服務器上去掉不需要的Terminal Services。 Terminal Services還具有一些可以顯著提高安全性的功能。例如,你可以對Terminal Services進程進行加密並限制登陸失敗的次數甚至是連接時間。 Terminal Services還可以在防火牆保護下的網絡之中工作。由於Terminal Services依靠Remote Desktop Protocol (RDP)來實現很多任務,因此你只需要記住開放端口3389使RDP正常地通行。 加密是關鍵 Terminal Services支持三個級別的加密。低級加密對客戶機向服務器發送的溝通信息進行加密。當使用低級加密時,在Windows 2000系統中為56位的加密,而早期的Windows版本則是40位加密。 中級加密對客戶機發送給服務器和服務器發送給客戶機的溝通信息進行加密。這裡,Windows 2000系統中還是56位加密,Windows的舊版本為40位加密。微軟公司推薦在由服務器向客戶機系統發送敏感數據時使用中級加密。 當使用高級加密時,在客戶機和服務器之間雙向交換的溝通信息都進行128位加密。在考試中,要記住128位加密的選項只有在美國和加拿大才可用。 管理連接許可也很重要 你可以通過對許可的調整來進一步鎖定Terminal Services進程。許可可以被應用於用戶,組和在本地與可信任區域中的計算機之中。 Terminal Services中自動安裝的標准TCP/IP連接中缺省設置了幾個許可: ◇系統 ◇管理員 ◇用戶 ◇客人 在缺省情況下,系統和管理員組提供了同樣的許可。兩個組都給用戶提供了全面控制,意味著用戶可以實現所有Terminal Services的功能,包括創建並結束進程,加入進程,查看進程信息,改變連接設置,執行遠程管理任務和發出用戶消息。 用戶許可提供的能力包括登陸一個進程,查看一個進程的信息,給其它的用戶發送信息和連接其他的進程。而客人許可僅允許登陸一個進程。 所有的許可都可以根據需要進行定制。你只需要記住調整Terminal Services的許可要求的是,對改變進行配置的用戶需要擁有管理權利。 網絡管理員經常會依靠於Terminal Services,而且它的使用經常擴展到企業級用戶中。不論是誰在使用Terminal Services,你都必須要知道如何使用缺省的安全功能來保護你的網絡。Terminal Services安全問題也會在Windows 2000 Network Security Design考試之中出現。你要確保自己搞懂了RDP通信開放端口的需要,不同加密級別的工作性能,某種許可賦予何種權利等內容。
