扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源: 2007年05月09日
关键字:安全管理 远程管理 Windows Vista
在过去,Windows RDP (Remote Desktop Protocol,远程桌面协议)在安全方面的口碑并不是最好的。但是自从Windows Server 2003 SP1中加入了FIPS级安全,Windows Remote Desktop的安全还是得到了极大的提高。现在,Windows Vista中加入了增强的RDP技术,每个家庭用户都能够使用。在本文中,我将向您演示当从Windows XP或Vista客户机上与Windows Vista计算机进行远程连接时,如何展开FIPS级安全防护。
RDP服务器(主机) |
RDP客户机 |
Windows Server 2003 SP1或以上版本 |
任意版本的Windows Vista |
Windows Vista Business Editions |
Windows XP + RDP 6.0 client* |
Windows Vista Ultimate Edition |
Windows Server 2003 + RDP 6.0* |
Vista RDP主机的安全配置
首先要做的是运行gpedit.msc编辑Group Policy Object(组策略对象),如图A所示。
图A
一旦进入组策略编辑器,依次进入计算机配置|管理模板|计算机组件|终端服务|安全,如图B。
图B
接下来,将加密级别设置为高,如图C
图C
启动“需要保护PRC交流”,如图D。
图D
按照图E所示将Require Use Of Specific Security Layer For Remote (RDP) Connections 设置为SSL (TLS 1.0)。
图E
现在需要进入另外一个GPO选区,它的位置是计算机配置|Windows设置|安全设置|本地政策|安全选项,如图F。
图F
启动FIPS模式,如图G
图G
按照图H在系统属性中选择“远程桌面”。这样的设置是为了能够允许任何RDP 6.0客户端进行连接,而不要仅仅允许Vista客户进行连接。
图H
配置完成后,需要刷新组策略来使新的设置生效,而不用重新启动机器。如图I,可以强制进行GPUpdate来刷新。
图I
图J显示为升级完成。
图J
保护RDP 6.0客户端配置
现在应该使用MSTSC命令启动RDP客户端,如图K。Windows 2003和XP用户需要下载和安装RDP 6.0客户端软件,Vista软件中带有正确的客户端软件。在XP系统下,你需要在发出MSTSC命令前,执行“运行”命令。
图K
输入服务器名称,注意首先要在LAN上进行。如图L,我们要到一个名为“msi-p965”的RDP主机。因为这个名称并不完整,所以现在只能在同一子网上的LAN内进行。也可以在本地主机文件中输入重新指向语句,指向某个IP或者动态DNS地址,这样就能够访问“msi-p965”或者公网上的指定设备。不过,对于这个我将另文详说。现在,我们只讨论LAN内的情况。
图L
接下来,需要扩大选项,如图M。
图M
按照图F在“显示”项下按照自己的喜好进行选择。
图N
在图O所示的“本地资源”项下,可以选择是否需要声音、打印机以及剪贴板等。
图O
在“程序”项下,如图P,能够指定在连接时希望启动的程序。
图P
现在,您可以通过图Q所示的设置确定远程桌面的外观。所选择的项目越多,就会占用更多的带宽。
图Q
在“高级”项下,如图R,您可以通过对RDP客户端的设置让系统在RDP服务器未能验明正身时发出警告。这样做的目的是为了防止你不小心将用户信任状交给截获连接的黑客。
图R
点设置,然后按照图S配置选项。在本例中,我们选择不使用TS门户服务器。
图S
在您选OK以后,请务必记着要返回“常规”,然后选“保存”以保存整个文件。否则,下次还要重新进行操作。为了方便进行访问,你可以将设置保存在桌面上。
现在点“连接”,会弹出图T中需要输入用户名和密码的对话框。
图T
进行首次连接时,您会看到图U那样的认证警告,告诉你服务器的证书不可信。为了调正这一情况,强迫系统在将来信任证书,请点“查看证书”按钮。
图U
当您看到图V时,就说明Vista PSD主机所生成的自签署证书已经生效,有效期为六个月。点安装证书按钮,将这个证书加入CTL(可信任证书列表,Certificate Trust List)。
图V
系统会出现图W所示的“证书导入帮手”,选“下一步”。
图W
选择将全部证书放入以下仓库。然后点“浏览”。如图X。
图X
选择“显示物理仓库并突出显示本地计算机”,如图Y。
图Y
返回证书仓库窗口,如图Z,选“下一步”。
图Z
为了完成导入,选择“完成”,如图AA。
图AA
当你看到图AB所示的成功信息时,点OK。
图AB
这时,您将可以与Vista RDP主机进行连接,但是更重要的是,即使将来与msi-p965进行连接,也不会出现任何的警告标志或者需要输入密码。如果以安全的方式进行连接就没有问题,当出现任何警告标信号时就要小心了。
如果您需要从公网络IP地址或动态DNS连入主机又改如何呢?如果你想以最初生成证书所用名称(本文中为msi-p965)不同的名称进行连接又该如何呢?您将会看到图AC所示的警告。你可以让它继续连接然后选择“以后与此电脑进行连接是不提示此信息”。
图AC
然后您会收到如图AD所示的警告,告诉你名称不符以及证书不正确。这并不是什么不好的事情。您可以查看证书,然后系统会告诉你证书是供“msi-p965”使用的,并且可靠。您之所以看到这样的警告是因为RDP客户端软件正在将证书所有者名称与你所连接的计算机进行比较。在本文中,我尝试连接的是“192.168.1.2”,而不是“msi-p965”。因此计算机向我报告说二者不相符。由于我企图连接的是公网上的某个IP地址或则一些其他的公共解析DNS名称,而且证书是有效的,所以我知道我没有被欺骗。所以我可以选“确认”继续进行连接。为了避免将来再看到同样的报错,我需要编辑本地主机文件,将IP或DNS名称,或则后是我的设备名称对应起来。
图AD
但是如果某个黑客使用伪造的证书要求进行连接呢?在这种情况下,你会看到图AE所示的警告,告诉您不仅仅是名称不符,证书的出身也很可疑。如果您按照图U到图AB的步骤安装证书以后又看到这样的警告信息,就说明有人正在企图愚弄你。您应该选择“不”,然后断开与服务器的连接。如果您希望继续进行连接,您就会将自己的信任状暴露给黑客,然后他就能通过字典袭击盗取你的密码。
图AE
如果这个看似复杂的过程能使您在连接RDP时不被警告,说明这是唯一可以建立安全可靠连接的方法。还好,你只需要这样操作一次,所有的后来的连接就都是安全的,而且绝无警告骚扰。无论你相信与否,您已经在RDP主机上创建了您自己的PKI证书,并在客户端计算机上安装了认证许可。这种采用公用密钥交换机制的安全方法经常被用来保证电子商务交易的安全。在企业级水平上,完全可以通过活动目录组的设置自动进行全程GPO设置和数字证书安全措施,但是您怎么知道它全部有效呢?
在以后的文章中,我将向您演示如何设置免费的公开解析并指向您的内部动态IP宽带服务的动态DNS条目当全部加密完成以后,客户端设备将不再报错。
(责任编辑:陈毅东)
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台