Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows 2003系統教程 >> Windows 2003常見問題解答 >> Win2000遠程控制的3種安全解決

Win2000遠程控制的3種安全解決

日期:2017/1/25 11:51:51      編輯:Windows 2003常見問題解答

 一、引言

  我們設想有一個遠程控制方案:一個公司要安置這樣一個IISWeb服務器,它被放在300裡以外。服務器是寬帶網絡、有空調裝置、電力控制裝置三者結合的個服務器中心。這個網絡服務中心既穩固又價錢合理,但要求客戶必須完全遠程控制服務器,這種控制是隨時的,而不必要經常跑到控制台對服務器進行操作。通常遠程控制存在若干問題,最明顯的是客戶端機器和主機的通信要通過因特網傳送。這樣交換數據可能被黑客嗅探;還有一個問題就是遠程控制本身漏洞 (例如它開放的端口)也會導致網絡攻擊。選擇遠程控制方案最終的目標就是要保證作為網關的你 (僅僅是你)能控制服務器而不會導致其他網絡攻擊。

  遠程控制方案安全原則如下:

  確保遠程控制權限的安全性

  遠程控制必須能夠預防非授權訪問。這也就意味著遠程管理軟件只接受一個小范圍IP地址的連接,並需要用戶名和口令的控制。通過智能卡相客戶驗證的引進,遠程控制安全性進一步加強。也可以用一些簡單、現成的技術來增強,如使用非標准端口來提供服務或者不顯示服務旗標的一些安全配置手段。

  確保遠程交換數據的完整性

  在遠程控制中要防止數據丟失,我們必須確保遠程控制服務器和客戶端數據傳送的完整性和即時性 (也就是說發送的數據是可靠的且不被重發)。

  確保敏感數據傳輸的機密性

  對與遠程控制,最重要的一點是保證敏感數據在因特網傳輸的機密性。這就要防止傳輸的數據報文不會被黑客嗅擦。這就要使用強健可行的加密算法進行會話加密。這種加密的優點在於:即使攻擊者嗅探到了數據。對嗅探的人也沒什麼用處。

  確保事件出志能夠安全審計

  良好的安全審計能大幅度提高遠程控制的整體安全性,並將安全隱患和技術犯罪扼殺於萌芽狀態。審計日志的主要作用在於讓管理員了解有哪些人訪問了系統,使用了哪些服務等等。這就要求服務器對企圖通過技術犯罪入侵的黑霉遠程控制蹤跡有一個足夠充分、足夠安全的日志記錄。

  二、Windows 2000 遠程控制的3種安全解決方法

  盡管遠程控制Windows2000有很多種方法。並不是所有的軟件都符合上面的遠程控制方案安全原則,我們可以通過組合不同的軟件來完成我們所需要的遠程控制解決方案。

  下面的一些例子就是通過對Windows2000自帶服務或者第三方軟件組合使用來達到安全可靠的遠程控制。

  方法1.Windows2000終端服務結合Zebedee軟件的使用

  終端服務是在Windows2000中提供的允許用戶在一個遠端的Windows9000服務器上執行基於Windows的應用程序的技術。終端服務應該是Windows2000服務器進行遠程管理使用最多的辦法,這和它的使用便利性以及其屬於Windows內置的服務同時帶來的其他好處有關,比如可以使用Windows2000服務器自帶的認證系統。但是這個終端服務程序本身有一些缺陷:它無法對客戶連接IP作出限制的機制;它沒有明確提出改變缺省監聽端口的辦法;它的日志審計功能,也就是說沒有日志記錄工具。基於本文開頭提到的遠程控制方案的安全原則,單獨使用終端服務並不是很安全的。但我們可以通過通過與Zebedee軟件結合,終端服務就可以實現上面的遠程管理安全需要。

  Zebedee的工作原理如下'Zebedee監聽本地指定的應用,將要傳輸的TCP或UDP數據進行加密、壓縮;Zebedee客戶端與服務器端之間建立了一個通信隧道;壓縮、加密的數據就在這個通道上進行傳輸;可以令多個TCP或UDP的連接建立在同一個TCP連接之上。

  通常使用Zebedee分以下兩步:

  第一步:配置Zebedee的監聽端口

  用到如下的命令:

  C:\zebedee -s -o server.log

  第二步:在客戶機上配置監聽3389端口並且

  使它重定向到你服務器上Zebedee的監聽端口

  用到如下命令:

  C:\>zededee 3389 serverhost:3389

  這樣,Zebedee就開始啟動,它與終端服務的結合使用原理如圖1所示。從圖1中可以看到,當開啟終端服務的客戶端進程(目標TCP端口:3389)時,緊接著本地Zebedee客戶端同時開始截取數據包;Zebedee將數據加密、壓縮後發給Zebedee服務器(這裡Zebedee服務缺省端口11965);Zebedee服務器接到後再解壓縮、解密傳遞給服務器的服務(服務端口:TCP:3389)。在這裡,服務器上的終端服務好像是與本地的終端服務客戶端進行的連接,但實際上所有傳遞的數據包都經過了一個加密的隧道。此外,Zebedee還可以通過配置文件來實現身份認證、加密、IP地址過濾以及日志的功能。一個配置良好的Zebedee和Windows2000的終端服務相互結合,可以構建一個十分安全的遠程管理系統。

  鑒於一般終端服務不提供文件傳輸的功能,所以需要考慮其他的辦法。我們可以使用FTP服務器。但是FTP服務器通常被認為是不安全的,它也可以通過Zebedee的加密隧道增強其安全性,方法是直接在終端服務上傳輸數據。這中做法比較麻煩,但Zebedee幫助文件已做了詳細的說明。這裡推薦兩個第三方的解決方案,一個是Analogx的TSDropCopy(http://www.analogx.com/con-tents/download/system/tsdc.htm),另一個是WTS-FTP(http;//www.ibexsoftware.com/about.asp)

  總的來說,Windows2000終端服務是一個最方便和最快捷的方法,但就其本身的安全性來說。我們通過Zebedee與終端服務的結合,可以說是實現了一個方便、快捷、安全的解決方案。

  方法2.在SSH上的VNC

  VNC是一個類似於終端服務的遠程管理軟件,和終端不同的地方有以下幾點:

  *VNC是和當前正在登錄的用戶共用同一個會話,你可以相當前登錄的用戶同時操作;

  *VNC客戶端適用於不同的平台,包括WindowsCE和Java;

  *VNC能夠限制IP訪問;

  在客戶端和服務端沒有經過加密。

  對於VNC的這些差別,我們意識到使用VNC的好處,但如果單獨使用的話仍然有一些安全隱患。最大的問題是VNC的數據傳輸沒有經過加密。我們可以配合使用SSH加密來彌補這一缺陷。通常使用OpenSSH(http://www.networksimplicity.com/openssh).OpenSSH是一個理論上類似與Zebedee的軟件。但是它更廣泛的被應用於SMTP.HTTP.FTP.POP3和Telnet傳輸數據包加密。和Zebedee一樣,它是通過端口通信隧道,不同的是SSH已經成為廣大用戶公認並且廣泛使用的加密協議。 

Copyright © Windows教程網 All Rights Reserved