张 忠

（中核核电运行管理有限公司，海盐 314300）

1 引言

微软活动目录（Active Directory）（下称AD域）是面向Windows Standard Server、Windows Enterprise Server的目录服务，活动目录服务是Windows 2000以后操作系统平台的中心组件之一。大型企业由于终端数量巨大，一般都采用基于AD域方式部署内部网络，以减轻日常维护工作。

2 技术背景

2.1 RPD远程桌面

微软远程桌面（Microsoft Remote Desktop）连接组件是从Windows 2000 Server即开始由微软公司提供，该组件开启之后就可以在网络的另一端控制这台计算机，就好像是直接在该计算机上操作一样。这就是远程桌面的最大功能，通过该功能网络管理员可以在家中安全的控制单位的服务器，而且由于该功能是系统内置的，所以比其他第三方远程控制工具使用更方便更灵活。

2.2 智能卡登录

从Windows 2000开始，微软桌面操作系统提供了基于智能卡认证的安全登录支持，即Windows智能卡登录。Windows操作系统的域认证采用kerberos协议，kerberos协议支持共享口令和数字证书二种方式，基于域账户的域认证采用共享口令，而基于智能卡登录的域认证采用数字证书方式，有更高的安全性。智能卡登录是微软操作系统的原生机制，包括XP、WIN7、WIN10等操作系统都支持，根据微软智能卡登录规范，智能卡设备需要支持PC/SC接口，市面上流行的智能卡设备一般都支持，安装相应的驱动后即可支持智能卡登录，无需额外安装第三方软件。

3 风险分析

通过远程桌面对故障终端进行远程维护有二种情形，大致登录步骤如下：

3.1 办公内网环境

（1）运维人员通过个人账号登录工作用机。

（2）运维人员从工作用机，通过远程桌面以管理账号登录管理中间机。

（3）运维人员从管理中间机，通过远程桌面以域管理员账号登录故障终端。

3.2 VPN拔入环境

（1）运维人员通过VPN拔入办公内网。

（2）运维人员通过远程桌面以管理账号登录管理中间机。

（3）运维人员从管理中间机，通过远程桌面以域管理员账号登录故障登录。

分析上述登录过程可看出，在远程维护过程中可能存在的问题有：

（1）需要多次输入账号口令，并且在登录故障终端时还需要输入域管理员账号口令，在远程桌面通讯中存在口令暴露的风险。

（2）运维人员登录管理中心机时，管理中间机的安全审计日志记录的仅是管理账号标识，审计日志的用户标识和登录者真实认证身份存在不匹配的问题。

（3）运维人员登录故障终端时，同时存在审计日志也无法记录的真实用户身份标识的问题，而且由于通过管理中间机的跳转，故障终端只能记录的访问来源IP地址都是管理中间机，导致事后监管审计的困难。

4 解决方案

采用域账户方式身份认证的远程管理导致身份鉴别信息保护及审计信息不准确的问题，原因在于：一是在微软远程桌面协议中，远程登录的账号和口令需要在网络中传输，当前出现中间人攻击时，就会有口令失窃的风险。二是由于账号信息和真实身份实体的分离特点，审计日志难于界定真实身份，尤其存在中间管理员的情况下，更难于进行事件责任认定。

为此我们设计基于智能卡的远程维护解决方案，将远程登录的身份认证方式由域账户更换为智能卡。智能卡认证为基于非对称密钥算法的安全技术，身份实体信息和证书设备为唯一从属关系，认证过程不存在明文鉴别信息的网络传输，从根本下消除账户口令方式认证的安全风险。具体思路及操作步骤如下：

（1）在企业内部部署PKI基础设施，用于给发放智能卡证书。

（2）为运维人员发放和本人身份信息一致的智能卡证书，特别是证书的主题备用名必须是运维人员所对应的域账户名称。

（3）配置用户策略，将运维人员进行名称映射，允许将一张智能卡证书映射到多个账户，比如中间管理员账户、AD域管理员账户等。

（4）配置AD域组策略，限制远程桌面登录必须采用智能卡方式。

（5）配置AD域组策略，为每个终端分发智能卡设备驱动。

按以上步骤配置完成后，运维人员就可以通过智能卡方式远程访问其它终端，若不采用智能卡设备，直接通过账户方式，则会拒绝登录。

5 结束语

在大型企业中，微软远程桌面是日常网络运维经常使用的工具，但采用账户口令方式对远程终端进行登录访问，存在一定的安全风险。本文对远程桌面登录的过程进行剖析，结合《信息安全技术-网络安全等级保护基础要求》对终端登录的安全要求，提出了远程桌面维护采用智能卡方式代替传统的账户口令方式的解决方案。基于该方案的远程桌面管理，可更好满足企业网络在身份鉴别和安全审计的管理要求，保障企业网络的健康使用和可控管理。

[1] 俞刚.智能卡-PKI私钥的安全载体[J].计算机与数字工程，2008（11）.