Win2000远程控制的3种安全解决方法(2)

　　二、Windows 2000 远程控制的3种安全解决方法

　　尽管远程控制Windows2000有很多种方法。并不是所有的软件都符合上面的远程控制方案安全原则，我们可以通过组合不同的软件来完成我们所需要的远程控制解决方案。

　　下面的一些例子就是通过对Windows2000自带服务或者第三方软件组合使用来达到安全可靠的远程控制。

　　方法1.Windows2000终端服务结合Zebedee软件的使用

　　终端服务是在Windows2000中提供的允许用户在一个远端的Windows9000服务器上执行基于Windows的应用程序的技术。终端服务应该是Windows2000服务器进行远程管理使用最多的办法，这和它的使用便利性以及其属于Windows内置的服务同时带来的其他好处有关，比如可以使用Windows2000服务器自带的认证系统。但是这个终端服务程序本身有一些缺陷:它无法对客户连接IP作出限制的机制；它没有明确提出改变缺省监听端口的办法；它的日志审计功能，也就是说没有日志记录工具。基于本文开头提到的远程控制方案的安全原则，单独使用终端服务并不是很安全的。但我们可以通过通过与Zebedee软件结合，终端服务就可以实现上面的远程管理安全需要。

　　Zebedee的工作原理如下'Zebedee监听本地指定的应用，将要传输的TCP或UDP数据进行加密、压缩；Zebedee客户端与服务器端之间建立了一个通信隧道；压缩、加密的数据就在这个通道上进行传输；可以令多个TCP或UDP的连接建立在同一个TCP连接之上。

　　通常使用Zebedee分以下两步:

　　第一步:配置Zebedee的监听端口

　　用到如下的命令:

　　C:\\zebedee -s -o server.log

　　第二步:在客户机上配置监听3389端口并且

　　使它重定向到你服务器上Zebedee的监听端口

　　用到如下命令:

　　C:\\>zededee 3389 serverhost:3389

　　这样，Zebedee就开始启动，它与终端服务的结合使用原理如图1所示。从图1中可以看到，当开启终端服务的客户端进程（目标TCP端口:3389）时，紧接着本地Zebedee客户端同时开始截取数据包；Zebedee将数据加密、压缩后发给Zebedee服务器（这里Zebedee服务缺省端口11965）；Zebedee服务器接到后再解压缩、解密传递给服务器的服务（服务端口:TCP:3389）。在这里，服务器上的终端服务好像是与本地的终端服务客户端进行的连接，但实际上所有传递的数据包都经过了一个加密的隧道。此外，Zebedee还可以通过配置文件来实现身份认证、加密、IP地址过滤以及日志的功能。一个配置良好的Zebedee和Windows2000的终端服务相互结合，可以构建一个十分安全的远程管理系统。

　　鉴于一般终端服务不提供文件传输的功能，所以需要考虑其他的办法。我们可以使用FTP服务器。但是FTP服务器通常被认为是不安全的，它也可以通过Zebedee的加密隧道增强其安全性，方法是直接在终端服务上传输数据。这中做法比较麻烦，但Zebedee帮助文件已做了详细的说明。这里推荐两个第三方的解决方案，一个是Analogx的TSDropCopy（http://www.analogx.com/con-tents/download/system/tsdc.htm），另一个是WTS-FTP（http；//www.ibexsoftware.com/about.asp）

　　总的来说，Windows2000终端服务是一个最方便和最快捷的方法，但就其本身的安全性来说。我们通过Zebedee与终端服务的结合，可以说是实现了一个方便、快捷、安全的解决方案。