终端服务基于 Microsoft 的专有协议,称为远程桌面协议 (RDP)。RDP 使用 TCP 3389 端口并支持两个并发用户。以下部分叙述了如何安装和配置终端服务以实现安全管理:
安装终端服务。 | |
配置终端服务。 |
安装终端服务
要安装终端服务:
1. | 通过从控制面板使用Add/Remove Programs 安装终端服务。使用 add/remove Windows Components 选项。不需要安装终端服务许可服务以实现远程管理。 |
2. | 配置终端服务为远程管理模式。 |
3. | 删除 tsinternetuser 帐号,这是在终端服务安装期间创建的。此帐号用来支持对终端服务的匿名 Internet 访问,它不应该在服务器上启用。 |
配置终端服务
使用管理工具程序组中的终端服务配置 MMC 管理单元配置以下项目:
1. | 连接终端服务的加密有三个级别(low、medium 和 High)。设置加密使用 128 位密钥。请注意应该在服务器和客户端上都安装 Windows 的高加密包。 |
2. | 配置终端服务会话在空闲连接时间限制之后断开。将其设置为终止断开的会话。如果用户关闭终端服务客户端应用程序,并且在 10 分钟的时间内没有注销,就可以认为会话断开。 |
3. | 最后,限制访问终端服务的权限。使用 RDP 对话框中的 rdp permissions 选项卡。默认情况下,所有管理员组的成员都允许访问终端服务。如果您不想所有管理员组的成员访问终端服务,那么删除这个组,并添加需要访问的单独帐号。请注意系统帐号必须在此列表中。 |
在客户端和服务器之间使用安全的 VPN 连接或者 IPSec 隧道提高安全性。此方法提供了相互的身份验证和 RDP 负载的加密。
通过 RDP 复制文件
终端服务不提供对文件传输的内置支持。但是,你可以安装来自 Windows 2000 Server 资源包的文件复制实用工具,从而在终端服务的剪贴板重定向功能中添加文件传输功能。有关实用工具和安装指导的更多信息,请参阅 Microsoft 知识库文章 244732,“如何:安装包含在 Windows 2000 资源包中的文件复制工具”。
返回页首本单元说明了如何手工配置 ASP.NET Web 服务器的安全设置。手工过程有助于对配置的理解,但是比较耗费时间。使用以下资源有助于自动化本单元提出的步骤:
有关如何自动化 IISLockdown 的信息,请参阅 Microsoft 知识库文章 310725,“如何:运行 IIS 中未被注意的 IISLockdown 向导”。 | |||||||
您可以使用安全模板创建和部署安全策略。有关更多信息,请参阅以下 Microsoft 知识库文章:
| |||||||
有关自定义和自动化安全模板的详细指导,请参阅 Microsoft patterns & practices, Microsoft Solution for Securing Windows 2000 Server,网址是:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/windows/secwin2k/default.asp。 Microsoft Solution for Securing Windows 2000 Server 涵盖了最常见的服务器角色,包括域控制器、DNS 服务器、DHCP 服务器、IIS Web 服务器,以及文件和打印服务器。本指导中使用的方法使您能够采用默认的 Windows 2000 安装,并创建安全的服务器,具体的精确配置会因为其角色的不同而不同。管理员然后可以有意识地降低安全性,以满足特殊环境的需要。本指导提供了基准安全推荐实践的基础,覆盖了服务、帐号、组策略等等,您可以使用它作为常见服务器角色类型的起点。 |
返回页首安全的 Web 服务器为宿主 Web 应用程序提供了一个受保护的基础。本单元说明了可能影响 ASP.NET Web 服务器的主要威胁,提供了降低风险必
