远程网络连接安全配置.pptVIP

远程网络连接的安全配置 ;10.1 远程桌面连接的用户权限配置; “远程桌面连接”是用来进行远程工作站管理的；“远程桌面”则是Windows Server 2003系统的一项新的管理单元，可以使用“远程桌面”管理单元，用来创建到多个终端服务器或到运行Windows?2000 Server或Windows Server?2003家族操作系统的计算机的远程桌面连接； “管理远程桌面”（原来称为“远程管理模式的终端服务”）也是由“终端服务”启用，其实它也是一种“远程桌面连接”，不同的只是它连接的对象是专指安装了终端服务器的服务器。 综上所述，“远程桌面连接”、“远程桌面”管理单元和“管理远程桌面”所采用的连接方式都是“远程桌面连接”，而且都是由终端服务启用，不同的只是连接对象不一样。 本节详细内容参见书本P400页。;10.1.2 “远程桌面连接”权限配置 ;10.2 终端服务的用户权限配置 ;10.3 “远程桌面Web连接”的安全配置 ;10.4“远程协助”的用户权限配置 ;10.4.1远程协助用户权限配置 ;10.4.2防火墙的3389号端口开放与关闭 ;10.5 远程访问权限的配置 ;支持远程访问的客户端操作系统只有Windows XP、Windows 2000和Windows Server 2003家族产品才支持远程访问。在其中，还应考虑：所支持的身份验证方法；所支持的数据加密等级；是否需要强密码；是否向用户提供受管理的客户端等方面。 如何将远程访问解决方案文档化 应考虑将远程访问需求以及如何配置网络以满足需求文档化。这有助于维护网络以及查明需要考虑或改进的潜在区域。 是否使用Windows身份验证或RADIUS 如果有多台服务器运行“路由和远程访问”，则应考虑使用远程身份验证拨入用户服务（RADIUS）来代替Windows身份验证。 是否限制远程访问 应考虑通过配置远程访问策略，将对您网络的远程访问限制于特定的用户、用户组、时间或客户端配置。 本节详细内容参见书本P416~P417页。;10.5.2 远程访问用户权限配置 ;10.5.3远程服务器身份验证安全配置 ;10.5.4 远程访问策略安全配置 ; 启用远程访问帐户锁定之后，在指定的失败尝试次数之后，字典攻击就会失效。作为网络管理员，必须确定两个远程访问帐户锁定变量： 拒绝进一步尝试之前允许失败尝试的次数。 在每一次尝试失败后，该用户帐户失败尝试计数器加1。如果该用户帐户的失败尝试计数器达到配置的最大数时，以后的连接尝试都将被拒绝。当失败尝试计数器的值小于配置的最大值时，一次成功的身份验证可以将它复位为零。换句话说，失败尝试计数器不会在成功的身份验证的基础上积累。 失败尝试计数器复位的频率。 失败尝试计数器周期性地重置为0。如果在最多次失败尝试后帐户被锁定，则在重置时间过后，失败尝试计数器会自动重置为0。  本节详细内容和远程访问账户锁定配置方法参见书本P428~P429页。;10.6 VPN技术基础 ;10.6.1 VPN的产生及前景 ;10.6.2 VPN的组成及基本通信步骤 ;10.6.3 VPN网络与专线网络的区别 ;10.6.4 VPN连接的优势 ;网络协议支持 VPN支持最常用的网络协议，这样基于IP、IPX和NetBEUI协议网络中的客户机都可以很容易地使用VPN。 4. 容易扩展 如果企业想扩大VPN的容量和覆盖范围，企业需做的事情很少，而且能及时实现，因为这些工作都可以交由专业的NSP来负责。 可随意与合作伙伴联网 完全控制主动权  借助VPN，企业可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权。 安全的IP地址  因为VPN是加密的，因特网上的用户只看到公用的IP地址，看不到数据包内包含的专有网络地址。 支持新兴应用  VPN则可以支持各种高级的应用，如IP语音，IP传真，还有各种协议，如RSIP、IPv6、MPLS、SNMPv3等。  本节详细内容参见书本P433~P435页。;10.6.5 VPN安全技术概述; 大部分的VPN设备厂商都支持市场上主要的几种加密技术，像RSA Security公司的Rivest Cipher技术、DES及Triple-DES （三重DES）等。 身份认证（Authentication） VPN采用了许多现存的用户认证技术。如许多厂商所推出的VPN设备中，都具备了PPP的PAP （Password AuthenticationProtocol，密码认证协议）技术、CHAP（Challenge Handshake Authentic