Bảo mật Terminal Services của Windows Server 2008

Một số nâng cao có thể nói là tuyệt nhất cho Terminal Services trong bổ sung Windows Server 2008 đi liền với sự bảo mật toàn diện của nó. Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề giúp cho môi trường Terminal Server an toàn hơn.
Nội dung trích xuất từ tài liệu:
Bảo mật Terminal Services của Windows Server 2008Bảo mật Terminal Services của Windows Server 2008Nguồn:quantrimang.com Chris SandersQuản trị mạng - Một số nâng cao có thể nói là tuyệt nhất cho Terminal Servicestrong bổ sung Windows Server 2008 đi liền với sự bảo mật toàn diện của nó.Trong bài này chúng tôi sẽ giới thiệu cho các bạn một số vấn đề giúp cho môitrường Terminal Server an toàn hơn.Sử dụng thẩm định hai hệ sốCó một vài hình thức khác nhau của thẩm định hai hệ số, tuy nhiên phươngpháp chung nhất được hỗ trợ bởi Terminal Services là sử dụng Smart Cards. Sửdụng Smart Cards, người dùng không chỉ phải cung cấp các tiêu chuẩn đăngnhập hợp lệ mà còn phải có thể kết nối vật lý với thẻ thông minh đến thiết bị màhọ đang sử dụng như một thiết bị đầu cuối ở xa.Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy Object đểsử dụng cho Terminal Server. Trong GPO, duyệt đến ComputerConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Optionsvà kích hoạt thiết lập Interactive Logon: Require Smart Card. Thêm vào đó bạncũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đến TerminalServer bằng cách tích vào hộp kiểm Smart Cards trên tab Local Resources củaRemote Desktop Connection trên các máy trạm của người dùng. Hình 1Thực thi thẩm định mức mạng đối với tất cả máy kháchTrong các bổ sung trước của thẩm định Terminal Services cho máy chủ đượcthực hiện bởi việc kết nói đến một session trên máy chủ và việc nhập các tiêuchuẩn đăng nhập vào màn hình đăng nhập của Windows Server. Điều này tuy cóvẻ khá bình thường nhưng từ phối cảnh bảo mật, việc hoàn tất một màn hìnhđăng nhập session có thể phơi bày các thông tin về mạng của bạn (tên miền vàtên máy) hoặc để lại lỗ hổng trên máy chủ, tạo điều kiện cho kẻ tấn công có thểthực hiện hình thức tấn công DoS đến bất cứ ai có địa chỉ IP công của máy chủ.Network Level Authentication (NLA) là một tính năng được giới thiệu trong phiênbản 6.0 của Remote Desktop Connection Client, tính năng này cho phép ngườidùng nhập vào trước các tiêu chuẩn đăng nhập của họ để sẽ được hiển thị tạicửa sổ đăng nhập của Windows Server. Windows Server 2008 cho phép chúngta sử dụng tiện ích này và yêu cầu tất cả các máy khách đang kết nối để sửdụng nó. Hình 2Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy kháchđang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows7) cũng như đang chạy emote Desktop Connection 6.0 hoặc cao hơn. Bạn cóthể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sửdụng NLA trong một số nơi khác nhau: Trong suốt quá trình cài đặt Terminal Services role ban đầu, khi bạn thấy • màn hình Specify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication. Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải • vào kết nối terminal server đang được sử dụng bởi các máy khách và chọn properties, sau đó chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication. Tạo một Group Policy Object, duyệt đến Computer • ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerSecurity, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting và sử dụng nó cho một OU gồm có terminal server.Thay đổi cổng RDP mặc địnhMặc định, Terminal Server thường sử dụng cổng 3389 cho lưu lượng RDP. Vàmột số hacker thành thạo trên thế giới đều biết được điều đó. Chính vì vậy mộttrong những thay đổi nhanh nhất mà bạn có thể thực hiện đối với môi trườngTerminal Server của mình để tránh những kẻ xâm nhập và thay đổi thỏa thuậncổng mặc định.Để thay đổi cổng RDP mặc định cho Terminal Server, bạn hãy mở regedit vàduyệt đếnHKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-Tcp. Tìm key PortNumber và thay thế giá trị hex00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sửdụng.Cách khác, bạn có thể thay đổi số cổng được sử dụng bởi Terminal Server củamình trên một kết nối cơ bản. Vẫn sử dụng regedit, duyệt đếnHKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsconnection name. Tiếp đó, tìm đến key PortNumber và thaythế giá trị hex bởi một giá trị khác mà bạn muốn.Cần phải lưu ý rằng khi thay đổi thiết lập trên máy chủ này, tất cả các máy kháchkết nối cần phải được bảo đảm rằng chúng đang kết nối đến Terminal Server vớicổng mới đã được gắn thẻ trên địa chỉ IP của các máy chủ. Cho ví dụ, việc kếtnối đến Terminal Server với một địa chỉ IP trong là 192.168.0.1 có ...