远程网络连接的安全配置.ppt

远程网络连接的安全配置 在远程网络连接中同样存在一定的安全风险，如可能从外部网络或者外部主机上感染像病毒、黑客程序之类恶意代码；还可能被非法用户通过获取权限，控制或潜入企业网络内部进行非法破坏活动。所以，我们在配置远程网络连接的同时，一定要注意连接所带来的安全隐患，采取相应的安全防御措施进行防范。 本章重点 远程桌面连接和远程协助连接的用户权限配置 远程访问的安全配置 VPN的主要分类 VPN的主要隧道技术 IPSec安全协议 10.1 远程桌面连接的用户权限配置 “远程桌面连接”（以前称之为“终端服务客户端”）是为Windows Server 2003系统提供的一种连接远程工作站的远程管理工具，使用它可以很容易地连接到终端服务器或其他运行远程桌面程序的计算机。您所需要的仅是进行网络访问和连接到其他计算机的权限。  10.1.1 “远程桌面连接”、“远程桌面”和“管理远程桌面”的联系与区别 在Windows Server 2003系统中，与“远程桌面连接”有关的工具还有另两个，它们就是“远程桌面”管理单元、“管理远程桌面”。在这里我们首先要搞清楚它们之间的区别与联系。 “远程桌面连接”与“远程桌面”、“管理远程桌面”其实都是来自终端服务的功能，但它们所担当的职责各不一样。 “远程桌面连接”是用来进行远程工作站管理的；“远程桌面”则是Windows Server 2003系统的一项新的管理单元，可以使用“远程桌面”管理单元，用来创建到多个终端服务器或到运行Windows?2000 Server或Windows Server?2003家族操作系统的计算机的远程桌面连接； “管理远程桌面”（原来称为“远程管理模式的终端服务”）也是由“终端服务”启用，其实它也是一种“远程桌面连接”，不同的只是它连接的对象是专指安装了终端服务器的服务器。 综上所述，“远程桌面连接”、“远程桌面”管理单元和“管理远程桌面”所采用的连接方式都是“远程桌面连接”，而且都是由终端服务启用，不同的只是连接对象不一样。 本节详细内容参见书本P400页。 10.1.2 “远程桌面连接”权限配置 “远程桌面连接”需要有专门的权限才可进行，系统默认并不是所有用户都有这个权限。但是要拥有“远程桌面连接”权限的门槛又非常低，只需比普通的Users组权限高一点，把用户添加到专门用来管理远程桌面连接用户的“Remote Desktop Users”组即可，那怕该用户以前仅是最低权限的Guest帐户。另外，还需在远程桌面连接服务器端开启“远程桌面”连接功能。 远程桌面连接中，如果是在域网络中，可用域用户帐户登录，也可用远程桌面连接服务器端的本地系统用户帐户登录。默认情况下，域和本地系统的Administrators组成员都具有远程登录权限，无需配置。除此之外还可配置其他一些用户具有有远程登录权限，添加到自Windows XP系统推出的“Remote Desktop Users”组中即可。具体用户帐户添加和权限配置方法参见书本P401~P404页。 10.2 终端服务的用户权限配置 在Windows Server?2003 家族操作系统中，终端服务是包括几种功能和组件的基本技术，其中最主的有“终端服务器”和“管理远程桌面”。而“管理远程桌面”的核心又是“远程桌面连接”，所以总的来说，Windows Server?2003 家族操作系统中的终端服务主要包括“远程桌面连接”和“终端服务器” 。前者是用来远程连接工作站和服务器的一种远程网络访问工具，而后者则是专门为终端用户提供统一的服务器访问的管理工具。 在终端用户的终端远程访问中，通过使用“Remote Desktop Users”用户组和“RemoteInteractiveLogon”权限，可以很容易地在每计算机基础上处理终端服务权限。默认情况下，有完全控制、用户访问和来宾访问这三种类型权限。 权限类型对应的具体权限和权限配置方法参见书本P404~P407页。 10.3 “远程桌面Web连接”的安全配置 “远程桌面Web连接”是由ActiveX控件、示例网页和其他文件组成的Web应用程序，其作用就是通过与远程计算机的Web服务器连接，以实现与远程计算机的终端服务连接，而且远程连接的客户机计算机还可以没有安装终端服务。相比之下，它比“远程桌面连接”的要求要低许多。但“远程桌面Web连接”需要安装专门的组件，可通过“控制面板”中的“添加/删除程序”选项以向导方式进行，具体参见《网管员必读——网络管理》和《网管员必