Microsoft操作系统远程管理实施方案.docVIP

Microsoft操作系统远程管理实施方案作者：xiongtun xiongtun@出处：日期：2003-04-02对于很多的微软系统的管理员来说，都面临着一个以怎样的安全方式管理远程系统的问题！ 在Unix系统中，这个答案十分简单： 使用SSH 协议，这是足够安全和有效的。 在SSH方式下，我们不仅能在命令行下管理远程系统， 我们也能通过使用隧道技术(Tunnlling)运行远程X-Window。 在传输过程中通过使用强壮的加密算法，以防止传送的数据被未经授权的访问。令人遗憾的是，如果把远程安全访问应用于微软操作系统就不是一件非常容易的事了。??首先，仅仅NT 终端服务器， 2000 服务器和XP 安装有远程管理服务( 终端服务)。 第二，一些第三方公司提供给微软远程管理服务的实施方案中,一般都需要很大的成本支出。且随着方案的进一步实施，成本也越来越高。而一些免费的远程管理软件如(vnc)又无法提供加密传输功能,安全性能大打折扣。!这篇文章提出的一种能用来远程管理 从win 95 到windows XP几乎所有版本的微软操作系统的方案。这种方案的特点不仅表现在最小费用支出上，而且还具有较高的安全性。解决方案 一个理想的远程管理方案应该有什么特征？ 首先，这个解决办法一定是高效的。 虽然在Unix 系统情况下，模拟终端命令行模式进行管理还是比较满意的.但是使用这种方式来管理windows远程服务是远远不够的, 因为Windows 是一个基于图形环境的操作系统，远程管理也应该使用一种图形方式实现。 除;了高效，远程管理还必须建立在安全的基础上。这个解决办法必须不仅为用户提供鉴定，而且也必须保证被传送的数据的机密性和完整性。在这篇文章中讨论的远程管理方案中,通过使用以下开放源代码软件,来达到以上要求!1.VNC -(Virtual Network Computing)提供图形界面方式管理远程系统。 在我们的方案里， VNC 软件将是这个整个的解决办法的 核心。 它将提供图形界面来连接远程操作系统。 2.Stunnel –的主要目的是建立能用来以安全的方式传送其他非加密协议传输的数据的SSL 隧道。 在本文的解决办法中，这个工具将用来加密VNC 协议。 在Stunnel下，不仅可以保证被传送的数据的机密性和完整性， 也可以利用证书签别VNC 客户端和服务器。3.OpenSSL - OpenSSL 能提供一个加密函数库，它能用来为应用程序提供数据加密功能。 通过使用OpenSSL 我们能产生，签署或者撤销基于公共密钥基础结构( PKI) 的证书。 在下面提出的这种方案中将用来产生并且签署需要证实VNC 客户端和服务器的证书下图显示了使用以上软件来提供一个安全的远程管理方案！此方案实际执行方案如下：安装软件实现此安全管理远程microsoft系统的第一步是安装以上软件.安装VNC我们可以在这里/vnc/ 下载vnc,然后安装在我们希望能够被远程管理的桌面操作系统,这即是VNC服务端.接下来所做的是需要注册VNC服务,注册方法:依次打开”开始”,” RealVNC”,”VNC server” ,” Register VNC Server Service”,然后系统将会要求重启.重启系统之后，我们必须设置VNC 服务的基本参数。 最重要的事情设置一个有效的口令，以防止VNC 服务被未经授权的访问。 下一步关闭 enable jave viewer 选项 (此选择要求两条单独的SSL 隧道，我们将不使用它)， 如下图显示:在完成使VNC 服务端设置之后，我们应该下载VNC 客户软件 ( vncviewer.exe) 并且将它放于VNC 客户端。接着应该检查VNC 客户端是否能与VNC 服务端建立起一个连接,如果双方能够建立起连接,我们便完成了初步的设置.由于VNC服务端只能够被本地安装的Stunnel软件所访问,所以我们需要往注册表中添加一个键值.:Key:??????????????HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3Name:LoopbackOnlyType:???????????? REG_DWORDValue:?????????? 1??以上键值的作用是使之能够使用loopback连接,即回送连接,并且限制监听端口5900的连接只能是本地ip(),这样VNC服务器不会被网络上的机器直接访问,这样大大的提高了安全性.另外如果我们不希望用户关闭VNC服务的话,服务器的注册表应该增加一项:Key:??????????????HKEY_LOCAL_MACHINE\Software\ORL\WinV