如何保证WinXP远程控制的安全性
远程协助
RA(远程协助)技术允许用户(邀请)邀请其他人(邀请)通过互联网来解决他们的实际问题。用这种方法的人可以看到电脑屏幕的人,相互交流信息。同时,如果邀请人的允许,邀请者也可以直接通过对邀请人的计算机网络操作解决问题。邀请者可以决定是否邀请人的权限只有屏幕观看或控制。为了使用远程协助,双方都需要使用它。
远程协助可以由人发起的,这是所谓的远程协助。同时,它也可以由招标人邀请人提供远程协助,这是所谓的远程协助,helpassistant帐户可以远程协助操作。该帐户是系统安装过程中创建的,并被随机分配到一个复杂的密码,随后被禁止。当远程协助邀请打开时,用户的计算机将创建一个邀请人的票,而3389端口也将开放,允许访问终端服务。当时的helpassistant帐户将被自动激活。启用时,邀请人可以使用这个账户和创建票访问邀请人的计算机。如果所有的票都关闭或过期,该helpassistant帐户将被自动禁用和3389端口将同时关闭。
注意:远程桌面功能也使用终端服务,因此如果启用远程桌面功能,3389端口可能一直处于打开状态。
请求方法的远程协助
用户可以请求远程协助或Windows Messenger,或保存为一个文件请求远程协助。有没有办法限制新手的人,任何人都可以如果他可以连接电脑初学者接受他的邀请。当一个远程协助请求答应,初学者可以看看的专家的用户名。然而,确保用户正确的用户的唯一方法是使用密码。创建一个请求时,初学者可以选择通过密码保护这一援助。密码不包含在请求文件中,并且邀请人必须输入正确的密码才能建立连接。初学者可以通过其他方式将密码发送给邀请人,但代码复杂度、密码策略和帐户锁定策略对密码和帐户无效。
通过Windows Messenger发送的邀请是以明文形式由XML发送的。发送或保存在电子邮件的形式邀请文件是msrcincident格式发送,这也是明文XML格式。因此,任何人都可以接触这些数据可以读出的内容,如本机的IP地址,使用的端口号,以及是否有密码保护的人。
由于这些原因,在更严格的安全要求的网络中不建议使用远程协助。
提供远程协助的方法
提供远程协助,通常被认为是一个更安全的方式向招标人提供远程协助。提供远程协助只适用于两台计算机位于同一个域或受信任的域,并允许用户通过设置提供远程协助。使用此功能时,专家不能不宣连接到用户的计算机,或控制的用户没有权限的计算机。同时,用户也有允许或拒绝其他连接的能力。
要使用这种远程协助方式,安全配置模板的用户权限部分必须进行如下修改:
用户权限
建议设置
允许通过终端服务登录
确定哪些用户或用户组登录作为终端服务客户端的能力,和远程桌面用户需要这个权限。如果远程协助功能也用了,只有管理员使用该功能有这个权力。注意:如果你想使用远程协助提供,你不需要添加任何用户或用户组设置。
我们拒绝通过终端服务登录,以决定哪些用户或用户组被禁止作为终端服务客户机,用于远程桌面用户。
此外,为了允许用户以其提供的方式使用远程协助,需要设置若干组策略。
打开GPO在MMC的组策略或通过容器的属性组策略选项卡访问GPO链接
如果是通过组策略选项卡访问,选择目标GPO并单击编辑访问组策略
位置到计算机配置管理模板系统远程帮助节点
双击远程帮助请求的右侧版本。
单击启用按钮,允许用户请求远程协助。
从下拉菜单中选择只允许助手查看此计算机选项。
设定最长的票时间(价值)在0和最长的票时间(单位)为分钟。
应用程序设置,关闭对话框
注意:为了提供远程协助,有必要使用请求远程协助策略。然而,最长的购票时间是0,这阻止了用户使用远程协助功能。
双击右侧版本提供远程帮助。
如果您要允许专家在这台计算机上提供远程帮助,请单击启用按钮。
只允许助手在下拉菜单中查看计算机。
警告:建议您永远不要允许用户给他人远程控制计算机的权限,即使用户可以随时看到对方的操作和回忆控制,因为要销毁系统需要几秒钟的时间。
单击帮助按钮:显示…按钮,所有允许向计算机提供远程帮助的用户都是最近添加的,如管理员和桌面帮助。建议将此功能仅限于真正需要的用户:
或
远程桌面连接
远程桌面是另一种在专业上使用的终端服务。它允许用户从远程连接到本地计算机,并使用机器的各种资源作为直接使用。远程桌面功能在专业系统中默认禁用。
远程桌面连接是由远程桌面客户端执行的。XP系统已安装在默认情况下,客户端的微软Windows 2000,NT,Windows 98和Windows 95也被包括在内。远程桌面也有一个客户端基于ActiveX技术,称为rwdc(远程桌面Web连接),可安装在IIS,RDWC,任何计算机都可以通过使用支持ActiveX的网页连接下载客户端,然后打开远程桌面连接。当IIS安装到XP系统,默认安装的rwdc。
当远程桌面功能,3389端口被打开,接受访问的终端服务。所有管理员(本地域),用户和用户组可以访问远程桌面用户列出远程计算机。在打开连接时,连接到电脑会自动锁定,如果用户登录在目标计算机上,远程用户将看到一个选项,将在目标计算机上的本地用户登录和注销,从远程登录,但是它需要一个远程用户已经成功验证,并且需要具有管理员权限。远程桌面使用标准的Windows身份验证机制,所以密码策略、账户锁定策略也可以应用于远程桌面。远程桌面的所有帐户必须有密码。
注意:建议使用远程桌面锁定默认管理员帐户,禁止帐户远程登录,但本地登录不受限制。
要使用远程桌面功能,必须将安全模板的用户权限部分更改如下:
用户权限
建议设置
允许通过终端服务登录
决定哪些用户或用户组有权通过终端服务客户端登录。远程桌面用户需要权限。如果我们同时使用远程协助功能,只有使用此功能的管理员才有权利。
管理员,远程桌面用户
我们拒绝通过终端服务登录,以决定哪些用户或用户组没有被授权通过终端服务客户端登录,这是面向远程桌面用户的。
要允许计算机接受远程桌面连接,可以采取以下操作:
单击计算机上的鼠标右键,选择属性打开系统属性对话框。
打开对话框中的远程选项卡
选择允许用户远程连接到此计算机复选框
单击以选择远程用户……按钮打开远程桌面用户对话框。
该局的本地策略定义添加相应的用户或用户组。
注意:此操作将将选定的用户和用户组添加到本地远程桌面用户用户组,并通过本地计算机管理工具直接编辑加入该组的用户和用户组。
组策略管理模板
终端服务
除了上面提到的一些设置,建议使用以下设置被设置为终端服务,也可应用于电脑作为GPO或本地计算机配置。
这些建议的终端服务位于GPO的计算机配置管理模板 Windows 终端服务节点,并可以通过组策略MMC的访问。终端服务设置也可以被用户设置节点下找到,但设置有覆盖的设置计算机配置下。
表16终端服务策略选项
网络配置建议
远程协助和远程桌面使用终端服务,使用户能够远程访问本地计算机。当使用这些功能在系统中,终端服务使用3389端口,这是强烈建议本地局域网,只能通过建立远程连接功能的使用,而3389端口被封锁在外部防火墙。所有入站和出站连接该端口必须被禁止的非法访问。如果只阻止入站连接,远程协助功能可能是通过Windows Messenger和局域网外部使用,所以双向沟通受阻。
如果你需要使用远程协助、远程桌面连接的局域网外,建议在防火墙或设置,确保只有一个特定的IP地址可以向局域网中的系统上安装过滤器。访问所有其他地址的3389端口应该被禁止。如果你需要一个高安全级别的保护,可以安装一个VPN和使用一个非常强大的身份验证方法,让少数的用户拨入VPN。当然,它也只允许特定的IP地址可以连接到VPN的一个好方法。