關於遠程訪問的安全性,前面已經進行了大量的介紹。這裡以Windows2000為例,對遠程訪問安全進行較為系統的總結。 遠程訪問客戶機連接遠程訪問服務器的過程 遠程訪問客戶機連接Windows遠程訪問服務器的過程如下(這裡假定使用Windows身份驗證,使用MS-CHAP驗證方法)。 (1)遠程訪問客戶機撥打遠程訪問服務器。 (2)服務器向客戶機發送質詢。 (3)客戶機給服務器發送加密的應答,其中包含用戶名、域名和密碼。 (4)服務器根據正確的用戶賬戶數據庫檢查該響應。 (5)如果用戶賬戶有效,服務器將使用該用戶賬戶的撥入屬性和遠程訪問策略來授權連接。 (6)如果啟用了回撥,則服務器將回撥客戶機,並繼續連接協商過程。 (7)建立連接之後。遠程訪問客戶機將享有所用賬戶的安全權限。像LAN用戶一樣來訪問資源。 4.10.2 遠程訪問的安全措施 下面綜述Windows2000服務器用於實現遠程訪問安全性的主要措施。 1.身份驗證 身份驗證主要是驗證連接嘗試憑據,通過使用身份驗證協議,以明文或加密的形式,在遠程訪問客戶機和遠程訪問服務器之間傳送憑據,如用戶名、密碼。 2.授權 授權是驗證連接嘗試是否被免許。在身份驗證成功後,授權才會發生。對於Widnows2000,授權是由用戶賬戶和遠程訪問策略上的撥入屬性所決定的。 即使使用有效的憑據,連接嘗試可能通過了身份驗證,但是仍有可能末被授權。在這種情況下,連接嘗試便被拒絕。如果連接嘗試既通過了身份驗證又通過了授權,則連接嘗試將被接受。 如果遠程訪問服務器被配置為windows身份驗證,對於身份驗證,是使用widows2000安全性來驗證憑據。對於授權,則使用用戶賬戶的撥入屬性和本地存儲的遠程訪問策略。如果將遠程訪問服務器配置為RADIUS身份驗證,則連接嘗試的憑據將被傳送到RADIUS服務器,以進行身份驗證和授權。 3.數據加密 可以使用數據加密來保護在遠程訪問客戶機和服務器之間傳輸的數據。對於金融機構。政府部門、軍事部門以及安全性要求高的企業,數據加密是十分重要的。可以設置遠程訪問服務器以請求加密通信,使連接到該服務器的遠程用戶必須加密數據,否則將被拒絕連接。 對於撥號網絡連接。Windows2000使用附。Microsoft點對點加密(MPE)協議。這需要在遠程訪問策略配置文件屬性的加密選項。MPPE可以配置為使用40位、56位或128位密鑰,以設置不同的加密強度。只有使用MS-CHAP(版本1或版本2)或EAP-TLS身份驗證協議時,PPP連接可以使用MPPE進行數據加密。 4.呼叫方ID 當通過使用呼叫方ID功能設置撥入安全性時,需要指定用戶撥入時必須使用的電話號碼。如果用戶沒有使用該指定的電話號碼撥入,遠程訪問服務器就會拒絕連接。呼叫方ID功能強制朋戶只能從特定的電話線路撥入。 5.回撥 這是一種輔助安全措施。當使用回撥功能時,用戶連接到遠程訪問服務器上。並經身份驗證和授權之後。遠程訪問服務器將斷開呼叫,稍後回撥預先設置的回撥號碼。如果設置不回撥功能,直到用戶完成身份驗證、授權和回撥之後,客戶機和遠程訪問服務器之間才能建立正式連接。可以在用戶賬戶撥入屬性或遠程訪問策略中設置回撥功能。 6.賬戶鎖定 可以使用賬戶鎖定特性來限制用戶嘗試密碼的次數,防止非法用戶通過惡意猜測密碼來竊取賬戶信息。啟用了賬戶鎖定之後,在指定失敗嘗試的次數之後,該賬戶將被鎖定,在一定期限內,即使知道正確密碼,也不能持該賬戶登錄。
可以通過更改計算機的Wimdows2000注冊表中提供身份驗證的設置,來配置賬戶鎖定功能。如果遠程訪問服務器被配置為用於Windows身份驗證,應修改遠程訪問服務器計算機上的注冊表。如果遠程訪問服務器被配置為用於RADIUS身份驗證,並且使用的是IAS服務器,應修改IAS服務器計算機上的注冊表。 啟用賬戶鎖定 要啟用賬戶鎖定,必須將以下注冊表項的值(表示最大拒絕次數,即賬戶被鎖定之前,允許失敗嘗試的最大次數)設為非零值。 HKEV一LOCAL一MACHINE\SYSTEM\CurrentControlSetServices\RemoteAccess\Parameters\AccountLockout\MaxDenial 默認情況下,該值設置為0,這意味著禁用賬戶鎖定。 調整復位時間 當失敗嘗試計數器的值小於配置的最大值時,一次成功的身份驗證可以將它復位為零。換句話說,失敗嘗試計數器不會在成功的身份驗證的基礎上積累。必須定期地復位失敗嘗試計數器,以防止由於用戶的常規錯誤(如輸入密碼時的失誤)而將賬戶鎖定。對以下注冊表項的值進行修改來調整設為非零值。 為改變在失敗嘗試計數器復位的時間間隔。單位是分鐘。 HKEY_VLOCAL_MACHINE\SYSTEM\ControlSet\ServicesRemoteAccess\Parameters\AccountLockout\ResetTime 默認情況下,復位時間間隔設置為0xb40(十六進制),即2880分鐘(48小時)。 手動復位被鎖定的賬戶 要在失敗嘗試計數器自動復位之前。手動復位被鎖定的用戶賬戶,應刪除以下與用戶賬戶名稱對應的注冊表子項; HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ServicesRemoteAccess\Parameters\AccountLockout\domain name:user name 其中domain name和user name分別表示域名和用戶名。 遠程訪問賬戶鎖定只限於遠程訪問,,與用戶賬戶屬性的"賬戶"選項卡上的"賬戶鎖定"設置無關。若賬戶被遠程訪問服務器鎖定之後,本地LAN用戶仍然可以使用該賬戶登錄。
問題解答 Windows2000Server遠程訪問提供以下新特性。 與Windows2000 Active Directory緊密集成。 提供基於MS-CHAP v2的身份驗證方法。 提供可擴展的身份驗證協議(EAP),尤其便於基於智能卡的安全部署。 支持帶寬分配協議(BAP)和帶寬分配控制協議(BACP),根據帶寬需要動態調整多鏈路。 提供遠程訪問策略。 支持RADIUS客戶。 支持AppleTalk Macintosh遠程訪問客戶機。 支持IP多播,可在遠程訪問客戶機和Internet(或企業網絡)之間轉發IP多播通信。 ■ 如何避免策略配置文件設置與服務器屬性設置的沖突 遠程訪問策略配置文件的屬性和遠程訪問服務器的屬性都包含一些關鍵設置,如多鏈路、帶寬分配協議和身份驗證協議,如果設置不當,它們之間的沖突將導致連接不成功。 這裡有一個基本原則。遠程訪問服務器屬性設置是基礎。如果是它禁用的選項,即使在策略配置文件中啟用,連接嘗試也將被拒絕;如果是它啟用的選項,策略配置文件中可以啟用,也可禁用,而且優先采用策略配置文件。 例如,如果遠程訪問策略配置文件指定必須使用EAP-TLS身份驗證協議,而遠程訪問服務器上的EAP被禁用,則連接嘗試將被拒絕。遠程訪問服務器允許使用MS-CHAP和MS-CHAPv2兩種身份驗證協議,而在策略配置文件中只允許MS-CHAPv2,則最終只允許使用MS-CHAPv2驗證方法。 可能有兩種原因,一是路由設置錯誤,二是不能進行正確的名稱解析。 檢查遠程訪問服務器上的路由功能設置,確認是否啟用IP路由,以允許訪問與遠程服務器連接的網絡資源。對於遠程用戶IP地址位於獨立子網的情況,應當設置相應的路由項,確保遠程訪問客戶機能夠路由到與遠程訪問服務器連接的網絡。 在客戶端使用ipconfig命名查看TCP/IP設置,看是否為遠程訪問客戶機配置了DNS或WINS服務器。 ■ 為什麼要慎用賬戶鎖定 賬戶鎖定特性不能區分懷有惡意的用戶和嘗試訪問但忘記了當前密碼的合法用戶。忘記當前密碼的用戶通常會嘗試所記得的密碼,而根據嘗試次數和最大拒絕次數設置,也可能將他們的賬戶鎖定。如果啟用了賬戶鎖定特性,非法用戶知道賬戶名稱後"可能會對用戶賬戶進行多次惡意嘗試身份驗證,直到賬戶鎖定為止,從而故意將用戶賬戶鎖定,阻止了合法用戶的登錄。 ■ 能否對遠程訪問實現端對端加密 遠程撥號連接的數據加密只能對在遠程訪問客戶機和遠程訪問服務器之間傳輸的數據進行加密,相當於建立一條安全的網絡線路,它工作在鏈路層(第2層)。在Windows2000解決方案中,這是通過Microsoft點對點加密(MPPE)協議與MS-CHAP(或EAP-TLS)身份驗證協議一起來實現的。 而端對端加密是指對源主機與最終目標之間的數據進行加密,它工作在網絡層(第3層)。在遠程訪問連接後,可以使用IPSec對遠程訪問客戶機到目標主機(可以是網絡中的計算機)的數據進行加密。關於IPSec安全實現,請參見本書的第9章。 ■ 如何實現遠程訪問的名稱解析 除了需要分配IP地址以外,TCP/IP網絡上的遠程訪問服務器和客戶機還需要將計算機名稱解析為IP地地。 對於遠程訪問服務器來說,一般使用DNS服務器和Hosts文件來進行主機名稱解析,也有使用WINS服務器和Lmhosts文件來進行NetBIOS名稱解析的。 遠程訪問服務器將其LAN接口的DNS和WIN