探秘遠(yuǎn)程管理Windows2008服務(wù)器新功能
基于安全和新的應(yīng)用需求,Server 2008已然成為炙手可熱的企業(yè)服務(wù)器平臺(tái)。平臺(tái)的遷移帶來(lái)了服務(wù)器遠(yuǎn)程管理方式的變化,Server 2008讓我們有了更多的選擇。在Server 2008中新增的一項(xiàng)功能Terminal Services Gateway(TS Gateway,遠(yuǎn)程服務(wù)網(wǎng)關(guān)),利用它遠(yuǎn)程客戶(hù)端可通過(guò)HTTPS安全地建立與服務(wù)器的遠(yuǎn)程會(huì)話(huà)。
1、為什么選擇TS Gateway通道?
不管在遠(yuǎn)程服務(wù)器上進(jìn)行遠(yuǎn)程管理,還是要遠(yuǎn)程運(yùn)行程序,在把這些資源暴露到Internet時(shí),都會(huì)有潛在的安全風(fēng)險(xiǎn)。
(1).遠(yuǎn)程桌面不夠安全靈活
管理員比較熟悉的“遠(yuǎn)程桌面”方式是在防火墻上打開(kāi)TCP端口3389,將從Internet客戶(hù)端上發(fā)來(lái)的請(qǐng)求轉(zhuǎn)發(fā)給本地網(wǎng)絡(luò)中TS服務(wù)器的IP地址。不過(guò),直接向Internet開(kāi)啟TCP 3389端口可能會(huì)導(dǎo)致安全風(fēng)險(xiǎn)。而且如果你要將多于一臺(tái)服務(wù)器發(fā)布到Internet,我們還需要多個(gè)公網(wǎng)IP地址。
(2).VPN方式不夠方便
VPN也是遠(yuǎn)程管理的一種方式,它要求遠(yuǎn)程用戶(hù)在使用RDP訪(fǎng)問(wèn)服務(wù)器之前先建立一個(gè)VPN連接。盡管這種方案更安全,同時(shí)也更靈活,但有時(shí)候也可能并不太方便。因?yàn)樵S多公共Internet AP(Access Point)并沒(méi)有開(kāi)啟PPTP或L2TP通信端口。出差的用戶(hù)一般是通過(guò)酒店的網(wǎng)絡(luò)來(lái)訪(fǎng)問(wèn)Internet的,而這種網(wǎng)絡(luò)有一些也無(wú)法初始化VPN連接。
(3).TS Gateway安全而且通用
Windows Server 2008中的TS Gateway解決了這個(gè)問(wèn)題。它把RDP封裝在HTTPS中(也稱(chēng)為RDP over HTTPS),用戶(hù)可以通過(guò)HTTPS的端口TCP 443連接到TS Gateway服務(wù)器。TS Gateway對(duì)客戶(hù)端進(jìn)行身份驗(yàn)證,從HTTPS中解壓RDP,然后在端口3389上把連接轉(zhuǎn)發(fā)到目標(biāo)
資源。通過(guò)TS Gateway,客戶(hù)端只需要訪(fǎng)問(wèn)端口443即可建立一個(gè)安全的RDP會(huì)話(huà)。除了只需要使用一個(gè)端口,RDP over HTTPS還支持只允許HTTP和HTTPS出站通信的代理服務(wù)器。我們只需要一個(gè)外網(wǎng)公共IP地址,通過(guò)這個(gè)IP地址即可發(fā)布TS Gateway服務(wù)器。而且,我們可以在TS Gateway上對(duì)用戶(hù)先進(jìn)行身份驗(yàn)證,然后根據(jù)驗(yàn)證的結(jié)果允許或阻止用戶(hù)訪(fǎng)問(wèn)本地網(wǎng)絡(luò)中的某臺(tái)(或所有)計(jì)算機(jī)。
2、遠(yuǎn)程管理Windows2008服務(wù)器,配置TS Gateway
(1).安裝TS Gateway
在把服務(wù)器配置為一臺(tái)TS Gateway之前,我們必須把TS Gateway服務(wù)添加到操作系統(tǒng)上。在Windows Server 2008服務(wù)器上,依次打開(kāi)“管理工具”→“服務(wù)器管理”,啟動(dòng)“添加角色”向?qū)АT?ldquo;遠(yuǎn)程服務(wù)”角色下找到“TS Gateway服務(wù)”,選中它。添加TS Gateway服務(wù)的同時(shí),會(huì)自動(dòng)添加一些其它必需的服務(wù)和功能,例如網(wǎng)絡(luò)策略服務(wù)器、
Microsoft IIS以及RPC-over-—HTTP代理服務(wù)器。向?qū)?huì)問(wèn)你是否要配置一個(gè)SSL(Secu re Socket Layer,安全套接字層)證書(shū),遠(yuǎn)程服務(wù)策略以及網(wǎng)絡(luò)策略服務(wù)器,不過(guò)筆者建議可以稍后再做這些配置(本文稍后會(huì)介紹這些配置)。完成向?qū)е螅芾砉ぞ叩倪h(yuǎn)程服務(wù)下面會(huì)多出一個(gè)TS Gateway管理器。
(圖1)
(2).配置連接數(shù)
打開(kāi)TS Gateway管理器,找到我們要配置為T(mén)S Gateway的服務(wù)器,打開(kāi)它的屬性對(duì)話(huà)框。在“常規(guī)”選項(xiàng)卡上,可以限制TS Gateway的同時(shí)連接數(shù),或完全禁用新的連接。默認(rèn)是允許支持的最大連接數(shù),如果沒(méi)有特殊原因, 保留默認(rèn)值即可。
(圖2)
(3).配置SSL證書(shū)
“SSL證書(shū)”選項(xiàng)卡上有一個(gè)必須要配置的選項(xiàng)。默認(rèn)設(shè)置下,TS客戶(hù)端和TS Gateway服務(wù)器之間在lnternet上通信時(shí)會(huì)使用TLS 1.0(Transport Layer Security,傳輸層安全)來(lái)加密通信。要使用加密,必須在TS Gateway服務(wù)器上選擇恰當(dāng)?shù)挠?jì)算機(jī)證書(shū)。證書(shū)的目的是進(jìn)行服務(wù)器身份驗(yàn)證,可以由本地證書(shū)管理中心(CA)發(fā)布。證書(shū)必須要有一個(gè)與TS
Gatewayf服務(wù)器DNS名稱(chēng)一致的主題名稱(chēng)值—— DNS名稱(chēng)即用戶(hù)連接到服務(wù)器時(shí)使用的名稱(chēng)(例如,tsg.domain.com),否則就會(huì)無(wú)法連接。
需要注意的是:不能用MMC證書(shū)管理單元中的標(biāo)準(zhǔn)證書(shū)請(qǐng)求向?qū)?lái)請(qǐng)求證書(shū)。這個(gè)向?qū)е荒馨l(fā)布那些本機(jī)名稱(chēng)的證書(shū),而這里我們要的是公共名稱(chēng),公共名稱(chēng)通常和本機(jī)名稱(chēng)是不一樣的。如果你有一個(gè)在線(xiàn)的CA,你可以用certreq.exe工具來(lái)準(zhǔn)備證書(shū)請(qǐng)求。或者,如果你不喜歡基于命令行的工具,也可以用IIS管理器中的一個(gè)向?qū)?lái)請(qǐng)求證書(shū)。按照以下步驟操作:打開(kāi)IIS管理器,點(diǎn)擊服務(wù)器名稱(chēng),在右方的面板中點(diǎn)擊“服務(wù)器證書(shū)”。選擇“創(chuàng)建域證書(shū)” 選項(xiàng),在“常規(guī)名稱(chēng)”一欄輸入TS Gateway的DNS名稱(chēng)。然后就可以自動(dòng)發(fā)布和安裝這個(gè)證書(shū)。
如果可能的話(huà),最好的方案是使用一個(gè)商業(yè)證書(shū),因?yàn)榇蠖鄶?shù)客戶(hù)端默認(rèn)都可能會(huì)信任它。從商業(yè)CA獲取了證書(shū)之后,你可以使用MMC的證書(shū)管理單元將它導(dǎo)入。證書(shū)安裝在TS Gateway計(jì)算機(jī)的個(gè)人目錄下之后,就可以使用TS Gateway計(jì)算機(jī)屬性對(duì)話(huà)框的“SSL證書(shū)” 選項(xiàng)卡進(jìn)行配置以啟用證書(shū)。點(diǎn)擊“為SSL加密選擇現(xiàn)有證書(shū)(建議)”,然后點(diǎn)擊“瀏覽證書(shū)”選擇該證書(shū)即可。
(圖3)
(4).配置連接身份驗(yàn)證策略
使用“TS CAP 存儲(chǔ)”選項(xiàng)卡配置連接身份驗(yàn)證策略。由于TS Gateway使用了網(wǎng)絡(luò)策略服務(wù)器來(lái)控制客戶(hù)端的訪(fǎng)問(wèn),通過(guò)TS Gateway管理器創(chuàng)建的所有策略實(shí)際上都會(huì)在網(wǎng)
絡(luò)策略服務(wù)器上創(chuàng)建。在這個(gè)選項(xiàng)卡上,你還可以啟用一個(gè)選項(xiàng):如果配置了網(wǎng)絡(luò)訪(fǎng)問(wèn)保護(hù)(Network Access Protection,NAP),就要求客戶(hù)端在進(jìn)行連接之前必須聲明自己處于健康狀態(tài)。就本文來(lái)說(shuō),選擇本地的網(wǎng)絡(luò)策略服務(wù)器就可以了,不要選中要求客戶(hù)端聲明自己處于健康狀態(tài)的這個(gè)選項(xiàng)。
(圖4)
(5).其他配置項(xiàng)
“服務(wù)器場(chǎng)”選項(xiàng)卡可以將多臺(tái)TS Gateway分組,創(chuàng)建一個(gè)服務(wù)器場(chǎng),提高TS Gateway服務(wù)的可用性。不能在這里配置網(wǎng)絡(luò)負(fù)載均衡(Network Load Balance,NLB),而必須在Windows中配置它。不過(guò)配置好NLB之后,你可以使用“服務(wù)器場(chǎng)”選項(xiàng)卡向服務(wù)器場(chǎng)添加NLB成員。
“審核”選項(xiàng)卡可以配置TS Gateway的日志選項(xiàng)。只需要點(diǎn)擊你想記錄日志的事件即可。TS Gateway服務(wù)器事件在MMC事件查看器管理單元中顯示在“應(yīng)用程序和服務(wù)日志\Microsoft\Windows\TerminalServices-Gateway”下。筆者建議大家選定所有可用的選項(xiàng)。
(圖5)
“SSL橋接”選項(xiàng)卡,我們可以在這配置Microsoft ISA Server或其它SSL橋接兼容設(shè)備連接到TS Gateway的方式。“SSL橋接”選項(xiàng)卡上唯一的一個(gè)選項(xiàng)就是:使用HTTP5-HTTP橋接,默認(rèn)并未被選中,意即使用HTTPS-HTTPS(或SSL)橋接,在客戶(hù)端通過(guò)lSA Server連接到TS Gateway時(shí)維持加密狀態(tài)。使用這種配置時(shí),ISA Server會(huì)終止從客戶(hù)端發(fā)起的SSL會(huì)話(huà),對(duì)用戶(hù)進(jìn)行預(yù)認(rèn)證(如果偵聽(tīng)器已經(jīng)配置為如此),監(jiān)控包,與TS Gateway服務(wù)器建立一個(gè)新的SSL會(huì)話(huà),并使用最高安全性。要使客戶(hù)端能通過(guò)TS Gateway的公共名稱(chēng)建立SSL會(huì)話(huà),ISA Server上的證書(shū)必須和TS Gateway服務(wù)器的一樣。
#p#
3、遠(yuǎn)程管理Windows2008服務(wù)器,配置TS Gateway策略
配置好服務(wù)器屬性之后,必須創(chuàng)建“連接身份驗(yàn)證策略” 和“資源身份驗(yàn)證策略”。默認(rèn)情況下,TS Gateway沒(méi)有策略,在沒(méi)有定義至少一種策略之前,TS Gateway無(wú)法正常工作。在連接身份驗(yàn)證策略中,可以設(shè)置允許通過(guò)TS Gateway訪(fǎng)問(wèn)的用戶(hù)或組、身份驗(yàn)證方法(智能卡或密碼),以及RDP設(shè)備重定向選項(xiàng)。資源身份驗(yàn)證策略則可以指定那些可以通過(guò)TS Gateway訪(fǎng)問(wèn)的主機(jī)。
(1).連接身份驗(yàn)證策略
在TS Gateway管理器的左面板上,找到“策略”下的“連接身份驗(yàn)證策略”節(jié)點(diǎn),點(diǎn)擊右鍵,選擇“以自定義方式創(chuàng)建新策略(不使用向?qū)?”選項(xiàng)。在彈出對(duì)話(huà)框的“常規(guī)”選項(xiàng)卡中,輸入策略的名稱(chēng)。切換到“需求”選項(xiàng)卡,選擇允許連接到TS Gateway的用戶(hù)和計(jì)算機(jī)組。必須添加至少一個(gè)用戶(hù)組(本地組或AD組)。注意,添加組后,這個(gè)組只能連接到TS Gateway;而并沒(méi)有把該組授權(quán)為可以通過(guò)TS Gateway連接到其它主機(jī)。如果你想限制用戶(hù)只能從指定的計(jì)算機(jī)上進(jìn)行連接,你也可以添加一個(gè)或多個(gè)計(jì)算機(jī)組。在“需求”選項(xiàng)卡上,還可以選擇一個(gè)或多個(gè)身份驗(yàn)證模式(密碼和/或智能卡)。
(圖6)
無(wú)論從安全還是功能方面來(lái)說(shuō),“設(shè)備重定向” 選項(xiàng)卡上的選項(xiàng)都很有用。在遠(yuǎn)程計(jì)算機(jī)上可以啟用所有設(shè)備的重定向,也可以全部禁用, 或者有選擇性地禁用某幾種設(shè)備。由于RDP設(shè)備重定向可能會(huì)導(dǎo)致一些潛在的安全風(fēng)險(xiǎn),因此限制重定向是比較明智的。可以根據(jù)不同的用戶(hù)組和身份驗(yàn)證方法,為它們配置多個(gè)不同設(shè)備重定向權(quán)限的連接身份驗(yàn)證策略。例如,對(duì)于管理員組的策略,可以強(qiáng)制要求他們使用智能卡進(jìn)行身份驗(yàn)證,允許所有設(shè)備重定向;而對(duì)于普通用戶(hù),則允許他們使用密碼進(jìn)行身份驗(yàn)證,但限制設(shè)備重定向。記住一點(diǎn),TS Gateway應(yīng)用連接身份驗(yàn)證策略的順序和RRAS應(yīng)用策略的順序是一致的。
(2).資源身份驗(yàn)證策略
在TS Gateway管理器的左方面板上,找到“策略”下的“資源身份驗(yàn)證策略”節(jié)點(diǎn),點(diǎn)擊右鍵,選擇“創(chuàng)建新策略(自定義 在彈出對(duì)話(huà)框的“常規(guī)”選項(xiàng)卡中,輸入策略名稱(chēng)和說(shuō)明。切換到“用戶(hù)組”選項(xiàng)卡,選擇一個(gè)或多個(gè)用戶(hù)組(本地組或AD組)注意你在這里指定的用戶(hù)組和之前在連接身份驗(yàn)證策略中指定的并不一定要一樣,因?yàn)檫@里的組是用于控制資源訪(fǎng)問(wèn)權(quán)限的,而不僅僅是針對(duì)TS Gateway的。
切換到“計(jì)算機(jī)組”選項(xiàng)卡,這是配置資源身份驗(yàn)證策略時(shí)最重要的選項(xiàng)。在這里指定計(jì)算機(jī)組,注意你在“用戶(hù)組”選項(xiàng)卡指定的用戶(hù)組必須有權(quán)限訪(fǎng)問(wèn)這里的計(jì)算機(jī)組。你有三個(gè)選擇。首先可以從AD選擇一個(gè)現(xiàn)有的計(jì)算機(jī)組。你也可以選擇一個(gè)TS Gateway的計(jì)算機(jī)組。(選擇它,然后點(diǎn)擊“瀏覽”,你可以輸入計(jì)算機(jī)的Domain Name或IP地址來(lái)創(chuàng)建這個(gè)組)或者,還可以選擇允許訪(fǎng)問(wèn)所有內(nèi)部計(jì)算機(jī),如果你只有一個(gè)資源身份驗(yàn)證策略時(shí),使用這種方式是很有用的。和連接身份驗(yàn)證策略類(lèi)似,為不同的資源創(chuàng)建不同的資源身份驗(yàn)證策略也是一種好方法。
在“允許的端口”選項(xiàng)卡上,可以配置RDP會(huì)話(huà)使用的端口。默認(rèn)是TCP端口3389,你可以配置為其它任何可用的端口,不過(guò)我并不建議這樣做。端口3389是公認(rèn)的RDP端口。如果你想通過(guò)隱藏端口的方法來(lái)提高安全性,你可以把默認(rèn)值修改為其它端口。
(圖7)
4、遠(yuǎn)程管理Windows2008服務(wù)器,部署TS Gateway
配置好TS Gateway和策略之后,必須正確地部署服務(wù)器。如果你使用的是普通的防火墻,你應(yīng)該把TS Gateway服務(wù)器放在DMZ區(qū),在面向Internet的防火墻和TS Gateway服務(wù)器之間開(kāi)啟TCP端口443,在TS Gateway和面向內(nèi)部網(wǎng)絡(luò)的防火墻問(wèn)開(kāi)啟TCP端口3389。注意TS Gateway服務(wù)器必須是一個(gè)域成員,因此在面向內(nèi)部網(wǎng)絡(luò)的防火墻上可能還需要一些其它的端口。
(圖8)
如果你使用的是ISA Server 2006或ISA Server 2004,可以把TS Gateway服務(wù)器放在本地網(wǎng)絡(luò),然后再通過(guò)ISA Server把它發(fā)布出去,這樣做已經(jīng)比較安全了。這種情況下,你必須把證書(shū)從TS Gateway復(fù)制到ISA Server上,你還可以配置HTTPS橋接。除了配置防火墻以外,還要在公共DNS上創(chuàng)建一個(gè)主機(jī)記錄,主機(jī)名要用TS Gateway服務(wù)器的名稱(chēng)(這個(gè)名稱(chēng)還要和證書(shū)的主題名一致),IP地址則是TS Gateway的IP。
5、配置TS客戶(hù)端
要使用TS Gateway,客戶(hù)端上必須安裝遠(yuǎn)程桌面連接6.O,大家可從如下地址下載并安裝(http://support.microsoft.com/kb/925876)。安裝完成后打開(kāi)RDP客戶(hù)端軟件,輸入要連接計(jì)算機(jī)的本地DNS名稱(chēng),點(diǎn)擊“高級(jí)”→“設(shè)置”,對(duì)TS Gateway相關(guān)的選項(xiàng)進(jìn)行配置。默認(rèn)值是自動(dòng)檢測(cè)TS Gateway設(shè)置,如果這些設(shè)置是由組策略強(qiáng)制分發(fā)的,這樣設(shè)置就夠了。或者,你也可以手工輸入TS Gateway服務(wù)器的公共名稱(chēng)。你還可以選擇在連接本地IP地址時(shí)繞開(kāi)TS Gateway,這樣當(dāng)用戶(hù)不管在LAN還是Internet,都會(huì)使用同一種方式進(jìn)行RDP連接。你也可以選擇不使用TS Gateway。配置好這些選項(xiàng),點(diǎn)擊“連接”, 首先會(huì)看到一個(gè)TS Gateway的驗(yàn)證對(duì)話(huà)框,然后還要進(jìn)行遠(yuǎn)程主機(jī)的身份驗(yàn)證。如果兩個(gè)驗(yàn)證都通過(guò)了,就可以開(kāi)始RDP會(huì)話(huà)了。
(圖9)
【編輯推薦】
