Bảo mật dịch vụ máy trạm từ xa trong Windows Server 2008 R2

Bảo mật dịch vụ máy trạm từ xa trong Windows Server 2008 R2 Trong bài này chúng tôi sẽ cùng các bạn nghiên cứu một số cơ chế bảo mật có trong RDS cùng với đó là cách sử dụng Group Policy và các thiết lập cấu hình. Remote Desktop Services (RDS) trong Windows Server 2008 R2 có nhiều tính năng mới so với dịch vụ Terminal Services cũ trước đây. Với các tính năng mới (một trong số chúng đã có ngay trong Windows Server 2008) chẳng hạn như RemoteApp, RD Gateway và RD Virtualization Host, Windows Server role...
Nội dung trích xuất từ tài liệu:
Bảo mật dịch vụ máy trạm từ xa trong Windows Server 2008 R2 Bảo mật dịch vụ máy trạm từ xa trong Windows Server2008 R2 Trong bài này chúng tôi sẽ cùng các bạn nghiên cứumột số cơ chế bảo mật có trong RDS cùng với đó là cáchsử dụng Group Policy và các thiết lập cấu hình.Remote Desktop Services (RDS) trong Windows Server2008 R2 có nhiều tính năng mới so với dịch vụ TerminalServices cũ trước đây. Với các tính năng mới (một trong sốchúng đã có ngay trong Windows Server 2008) chẳng hạnnhư RemoteApp, RD Gateway và RD Virtualization Host,Windows Server role này hiện cho phép bạn có thể linhđộng trong việc triển khai các ứng dụng riêng lẻ hoặc cácmáy trạm hoàn chỉnh qua giải pháp RDS hoặc VDI – trongnhiều trường hợp mà không cho các hệ thống Citrix hoặccác add-on của các hãng thứ ba khác.Tuy nhiên về mặt bảo mật, những phức tạp bổ sung nàybiến thành những thức thức bảo mật mới. Chính vì vậytrong bài này, chúng tôi sẽ giới thiệu cho các bạn các cơchế bảo mật bên trong RDS, sẽ giới thiệu cách sử dụng cácthiết lập cấu hình và Group Policy để bảo mật tốt hơn, bêncạnh đó là cách thực hiện bảo mật tốt nhất cho một triểnkhai RDS.Điểm mới trong R2Nếu đến với RDS từ Windows Server 2008 TerminalServices, bạn sẽ không thấy nhiều thay đổi rõ dệt như khinâng cấp lên từ Windows Server 2003. WS 2008 đã bổsung thêm nhiều cải thiện lớn đối với Terminal Services,gồm có TS Web Access cho việc kết nối trình duyệt web,TS Gateway cho người dùng kết nối qua Internet,RemoteApp cho việc phân phối các ứng dụng đơn lẻ đếnngười dùng qua Remote Desktop Protocol (RDP) vàSession Broker có trong tính năng cân bằng tải.WS 2008 R2 đã bổ sung thêm nhiều điểm thú vị: Remote Desktop Virtualization cho giải pháp VDI RDS Provider cho PowerShell để các quản trị viên cóthể thay đổi cấu hình và thực hiện các nhiệm vụ tại cửa sổdòng lệnh và thông qua kịch bản. Remote Desktop IP Virtualization, cho phép gán cácđịa chỉ IP cho các kết nối trên cơ sở session hoặc chươngtrình. Một phiên bản RDP mới và máy khách RemoteDesktop Connection (RDC), v. 7.0 Fair Share CPU scheduling cho phép phân phối độngthời gian xử lý giữa các session dựa trên số session tíchcực. Windows Installer compatibility cho phép dễ dàng càiđặt các chương trình yêu cầu cấu hình trên người dùng. True multiple monitor hỗ trợ lên đến 16 màn hình, nhờđó các chương trình hoạt động giống như chúng làm việckhi khi chạy trên máy khách.Ngoài ra còn có nhiều cải thiện về audio/video cũng như sựhỗ trợ cho Windows Aero trong RD session (mặc dù vậycần lưu ý rằng Desktop Composition, cho phép Aero,không được hỗ trợ trong một session đa màn hình).Các cơ chế và sự ảnh hưởng bảo mậtRõ ràng, các vấn đề bảo mật tiềm tàng phụ thuộc vào cáchbạn triển khai RDS. Nếu bạn có một thiết lập phức tạp hơn,với những người dùng kết nối qua Internet hay thông quamột trình duyệt web, bạn sẽ có nhiều vấn đề bảo mật hơnso với trường hợp chỉ có một triển khai đơn giản, nơi ngườidùng chỉ có kết nối thông qua máy khách RDC qua LAN.RDC gồm có một số cơ chế bảo mật có thể trợ giúp bạn tạocác kết nối RD an toàn hơn.Nhận thực mức mạng (NLA)Để bảo mật tốt nhất, bạn nên yêu cầu Network LevelAuthentication (NLA) cho tất cả kết nối. NLA yêu cầungười dùng cần được nhận thực đối với RD Session Hostserver trước khi tạo session. Điều này giúp bảo vệ máy tínhtừ xa tránh được người dùng nguy hiểm và mã độc. Để sửdụng NLA, máy khách phải sử dụng một hệ điều hành hỗtrợ các giao thức Credential Security Support Provider(CredSSP), có nghĩa Windows XP SP3 hoặc phiên bản hệđiều hành cao hơn, và đang chạy máy khách RDC 6.0 hoặccao hơn.NLA được cấu hình trên RD Session Host server thông quaAdministrative Tools | Remote Desktop Services | DesktopSession Host Configuration. Để cấu hình một kết nối để sửdụng NLA, bạn thực hiện theo các bước sau: Kích phải vào Connection1. Chọn Properties2.3. Kích tab General Tích vào hộp chọn “Allow connections only from4.computers running Remote Desktop with Network LevelAuthentication” như thể hiện trong hình 1.5. Kích OK.Hình 1Transport Layer Security (TLS)Một RDS session có thể sử dụng một trong ba lớp bảo mậtđể bảo vệ sự truyền thông giữa máy khách và RDS SessionHost server: RDP security layer – Lớp này sử dụng mã hóa RDPnguyên bản và là lớp kém an toàn nhất. RD Session Hostserver không được nhận thực. Negotiate – Mã hóa TLS 1.0 (SSL) sẽ được sử dụngnếu máy khách hỗ trợ nó. Nếu không session sẽ quay trở lạibảo mật RDP. SSL – Mã hóa TLS 1.0 sẽ được sử dụng để nhận thựcmáy chủ và mã hóa dữ liệu được gửi giữa máy khách vàSession Host server. Đây là tùy chọn an toàn nhất.Để thực hiện bảo mật tốt nhất, bạn có thể yêu cầu mã hóaSSL/TLS. Để có được điều đó, bạn cần có một chứng chỉsố, đây là chứng chỉ có thể được phát hành bởi một CA nàođó hoặc tự k ...