RD网关提高终端服务安全性
2017-03-10
引言:将终端服务主机直接连接到Internet上是比较危险的。而使用RD网关,不仅可以对连接者进行安全验证,而且可以通过SSL协议对其进行加密传输。即使内网中存在多台终端服务器,也可以让连接者顺利对其进行访问。
通常,只要黑客探测到了远程桌面/终端服务器主机的IP,洞悉了账户名称及密码,就可以毫不费力的对其进行远程控制。因此,将终端服务主机直接连接到Internet上是比较危险的。另外,如果局域网中存在多台终端服务器,往往需要在防火墙上使用不同的端口将其发布到Internet上,给用户的连接带来了不便。
在Windows Server 2008中,虽然可以使用TS网关,来对连接的身份进行验证,来保护内网的终端服务器的安全。同Windows Server 2008 R2中的RD网关相比,其安全性较差。使用RD网关,不仅可以对连接者进行安全验证,而且可以通过SSL协议对其进行加密传输。即使内网中存在多台终端服务器,也可以让连接者顺利对其进行访问。
安装RD网关服务器
为保证客户端使用远程桌面连接安全传输数据,必须在RD网关服务器上安装SSL安全证书。为便于使用,应先创建允许访问终端服务的账户和组。
在Windows Server 2008 R2中打开服务器管理器窗口,运行“添加角色向导”程序,在“选择服务器角色”窗口中选择“远程桌面服务”,在“下一步”窗口中点击“远程桌面服务简介信息”。点击“下一步”,选择“远程桌面网关”项,在弹出的窗口中点击“添加所需的角色服务”按钮。在“下一步”窗口中选择“为SSL加密选择现有证书(推荐)”项,点击“导入”按钮导入已安装的服务器身份验证证书。在客户端和远程桌面通讯时可使用SSL协议加密通讯数据。
点击“下一步”按钮,选择“现在”项,在“下一步”窗口中配置可以通过Rd网关的用户组,默认包含Administrato rs组。点击“添加”按钮,将允许连接远程桌面的用户组添加进来。在“下一步”窗口中可以更改RD CAP名称,选择“密码”项,作为身份验证方式。点击“下一步”按钮,在“选择角色服务”窗口中勾选“网络策略服务器”项,之后系统会显示需要安装IIS中的相关服务,在“下一步”窗口中显示所需安装的相关服务项,点击“安装”,执行安装动作,在之后的安装结果窗口中显示所有的角色和服务安装成功。
获取数字证书
数字证书的获得可以用多种方法实现。例如,可以使用自签名证书功能。依次点击“开始”、“所有程序”、“管理工具”、“远程桌面服务”、“远程桌面网关服务器”项,在打开窗口左侧选择本地服务器,在右侧窗口中“操作”栏中点击“属性”项,在RD网关属性窗口中的“SSL证书”面板中选择“创建自签名证书”项,点击“创建并导入证书”按钮输入名称。
勾选“存储根证书”项,点击“浏览”按钮,选择证书文件存储位置。点击“确定”按钮,完成证书文件的创建操作。之后根据提示信息重启RD网关服务器。重启之后,在IE地址栏中输入网关域名来查看该值证书是否已生效。在服务器管理器窗口左侧依次选择“远程桌面服务”、“RD会话主机配置”项,在右侧窗口中的“RDPTCP”项的右键菜单中选择“属性”项,在其属性窗口的“常规”面板中的“证书”栏中点击“选择”按钮,在证书列表中选择上述证书项目,点击“确定”完成操作,之后即可在远程桌面环境中对RD网关服务器和客户机之间的通讯进行加密,并且在远程桌面RDP-TCP连接之间也启用加密功能。
在Windows Server 2008 中可以创建证书服务器,可以满足证书的发布、申请、安装、创建等操作。Windows Server 2008支持应用于企业内部的证书服务器和用于Internet的独立证书服务器,前者应用于域环境,需要活动目录的支持,用户可以直接向证书服务器申请并安装证书。后者应用于非域环境,可以安装到任何一台独立的服务器上,当用户向证书服务器申请证书时,必须经由管理员检查后办法才可以颁发使用。在部署了证书服务器后,服务器的名称和域名均不可更改,但是可以更改IP地址。
配置连接授权和资源授权策略
为保证远程桌面连接的安全性,需要在安装RD网关的主机上创建授权策略,其包括连接授权策略CAP和资源授权策略RAP两部分。连接授权的策略的作用是检查访问者是否符合要求。只有符合要求的连接者才可以连接到RD网关。资源授权策略的用途是指定访问者可以通过RD网关连接到的内部的何种资源上。
在运行RD网关服务的主机上依次点击“开始”、“管理工具”、“远程桌面服务”、“远程桌面网关”项,在RD网关管理器左侧的“策略”项的右键菜单上点击“创建授权策略”项,在弹出窗口中选择“创建RD CAP和RD RAP”项,表示同时创建终端服务连接授权策略和管理终端服务资源授权策略。点击“下一步”按钮,输入连接授权策略的名称。在“下一步”窗口中选择“密码”项,表示使用密码安全认证机制。在“用户组成员身份”栏中点击“添加组”按钮,在弹出窗口中搜索并选择所需的用户组,将其导入。点击“下一步”按钮,选择“启用所有客户端设备的设备重定向”项,可以将客户端的磁盘、打印机等设备重定向到被控端。在“下一步”窗口中勾选“启用空闲超时”项,可设置合适的时间值。这样在远程连接建立后,如空闲的时间超过该值,会自动断开会话。勾选“启用会话超时”项,设置合适的时间值。这样,当连接会话的时间到达该值后,可以采取另种处理方法,一种是断开会话连接。一种是断开连接后自动执行验证和重新授权。
依次点击“下一步”按钮,在创建RD RAP窗口中输入资源授权策略名称。在“下一步”窗口中添加和选择对应的用户组,使其可以通过RD网关连接到目标内网资源。点击“下一步”按钮,在选择网络资源窗口中选择允许访问的资源,可以选择Active Directory域服务网络资源组、RD网关服务器场成员列表等。这里选择“允许用户连接到任意网络资源(计算机)”项,表示允许连接者访问内网中的所有主机。在“下一步”窗口中选择允许的TCP端口,默认为TCP 3389端口。也可以选择“允许通过以下端口连接”项,设置别的端口,让连接者通过该端口远程连接网络资源。在“下一步”窗口中点击“完成”按钮,完成终端策略的创建操作。
开启内网主机远程桌面/终端服务
在默认情况下,Windows服务器是禁止使用远程桌面连接的,为此,可以在服务器管理器窗口中展开“服务器摘要”、“计算机信息”项,在其中点击“配置远程桌面”链接,在弹出窗口中的“远程”面板中选择“仅允许经使用网络级别身份验证的远程桌面的计算机连接(更安全)”项,在弹出的提示窗口中点击“确定”按钮,启用远程桌面的防火墙例外功能。点击“选择用户”按钮,在远程桌面用户窗口中显示可以使用远程桌面连接的账户,默认只域管理员账户。点击“添加”按钮,可以将所需的账户和组添加进来。
在客户端配置安全证书
当客户端用户想通过RD网关建立远程桌面连接,必须通过身份验证环节。在安装RD网关服务时,已经提前在服务器中申请了数字证书,只有将该证书安装到客户机上才可以在客户端和RD网关服务器之间建立信任关系,让客户端可以通过RD网关的身份验证操作。在客户机上打开IE浏览器,在地址栏中输入证书服务器的地址。在弹出的登录窗口中输入域用户管理员名称和密码,点击“确定”按钮,在证书服务页面中点击“下载CA证书,证书链或CRL”链接,在弹出页面中点击“下载CA证书”链接,在文件下载窗口中点击“保存”按钮,将证书文件保存到本机中。在该证书文件的属性窗口中点击“安装证书”按钮,在证书导入向导界面中点击“下一步”按钮,在证书存储窗口中点击“浏览”按钮,选择“受信任的跟证书颁发机构”项,在“下一步”窗口中点击“完成”按钮完成操作。
连接RD网关,控制内网终端服务器
当然,RD网关的应用很广泛,管理远程桌面只是其功能之一。让客户端可以通过远程桌面连接程序,经由RD网关远程管理服务器。运行“mstsc.exe”程序,在远程桌面连接窗口中点击“选项”按钮,在“高级”面板中的“如果实际验证不满足最低策略要求”列表中选择“向我发出警告”项。点击“设置”按钮,在设置界面中选择“使用这些TS网关服务器设置”项,输入RD网关服务器的域名,注意不是IP地址。否则的话将无法正常连接,系统会提示服务器地址与证书使用者名称匹配等信息。这样,客户端主机必须可以正确解析该域名。
如果是局域网环境,可以直接执行验证操作。所以可以选择“跳过本地地址的TS网关服务器”项,如果RD网关服务器与内网中受保护的终端服务器的密码相同,可以选中“将我的RD网关凭据用于远程计算机”单选框,如果不同则无需选择该项。保存设置后,在远程桌面连接窗口中“常规”面板中输入终端服务器的IP或者名称,注意,RD网关服务器和终端服务器是有区别的,终端服务器可以隐藏在RD网关服务器的后面。RD网关服务器可以在Internet上拥有独立的域名,而终端服务器只是内网主机,只拥有内网地址,RD网关服务器可以同时拥有外网和内网地址。而且终端服务器可能有多台,用户只需更改连接的IP即可,而连接参数中的RD网关的域名是不能更改的。
例如RD网关域名为“rdp.fdckln.com”, 而内网终端服务器的IP为“192.168.11.11”等。点击“连接”按钮后,在输入用户凭证窗口中输入服务器上的对应账户名和密码,该账户必须在预设的允许连接远程桌面的账户列表中。点击“确定”按钮,在“网关服务器凭据”窗口中输入具有连接终端服务器的域用户名和密码,当通过RD网关的身份认证后,就可以安全的连接到服务器的远程桌面环境中,对其进行远程控制。
使用Web方式,控制内网服务器
除了使用常规的连接程序外,还可以使用IE浏览器操控终端服务。当然,前提是必须在RD服务器上需要安装远程桌面Web访问组件,并且在客户端配置和RD网关安全通讯的证书文件。在IE中输入终端服务器网址。如果在RD网关服务器的Web访问站点激活了Windows身份验证功能,就会显示认证窗口,输入拥有允许访问RD网关服务器的账户名和密码,通过认证后,在远程桌面服务默认连接页面顶部点击“运行ActiveX空间”提示栏,安装所需的ActiveX组件。
在“域/用户名”栏中输入允许连接到RD网关的账户名,在“密码”栏中输入其密码。该账户必须预先在RD授权策略中配置。点击“登录”按钮,连接到RD网关服务器,当连接成功后,点击“远程桌面”链接,在“连接选项”栏中输入终端服务器的内网IP地址,设置远程桌面尺寸。在“设备和资源”栏中选择需要重定向的设备。点击“连接”按钮,在弹出窗口中勾选“剪切板”和“打印机”项,可以让远程主机使用客户机的剪切板和打印机资源。点击“连接”按钮,在输入凭据窗口中输入允许登录终端服务器的账户名和密码,点击“确定”按钮进入远程桌面使用环境,可对远程主机进行各种控制操作。
对RD网关进行管理和监控
当客户端通过RD网关连接到被控机后,在RD网关服务器上可以对其活动进行全面监控。在RD网关管理器窗口左侧选择“监视”项,在右侧窗口显示正在进行的所有连接项目,包括连接的ID、用户ID、用户名等信息。对于可疑的连接项目,可以在其右键菜单上点击“断开此用户的连接”项,可以断开该用户的所有连接。如果点击“断开此链接”项,仅仅断开选定的连接。