Tài liệu Bảo mật dịch vụ máy trạm từ xa trong Windows Server 2008 R2 pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.93 MB, 11 trang )
Bảo mật dịch vụ máy
trạm từ xa trong
Windows Server 2008 R2
Quản trị mạng – Trong bài này chúng tôi sẽ cùng các bạn
nghiên cứu một số cơ chế bảo mật có trong RDS cùng với đó
là cách sử dụng Group Policy và các thiết lập cấu hình.
Remote Desktop Services (RDS) trong Windows Server
2008 R2 có nhiều tính năng mới so với dịch vụ Terminal
Services cũ trước đây. Với các tính năng mới (một trong số
chúng đã có ngay trong Windows Server 2008) chẳng hạn như
RemoteApp, RD Gateway và RD Virtualization Host, Windows
Server role này hiện cho phép bạn có thể linh động trong việc
triển khai các ứng dụng riêng lẻ hoặc các máy trạm hoàn chỉnh
qua giải pháp RDS hoặc VDI – trong nhiều trường hợp mà
không cho các hệ thống Citrix hoặc các add-on của các hãng thứ
ba khác.
Tuy nhiên về mặt bảo mật, những phức tạp bổ sung này biến
thành những thức thức bảo mật mới. Chính vì vậy trong bài này,
chúng tôi sẽ giới thiệu cho các bạn các cơ chế bảo mật bên trong
RDS, sẽ giới thiệu cách sử dụng các thiết lập cấu hình và Group
Policy để bảo mật tốt hơn, bên cạnh đó là cách thực hiện bảo
mật tốt nhất cho một triển khai RDS.
Điểm mới trong R2
Nếu đến với RDS từ Windows Server 2008 Terminal Services,
bạn sẽ không thấy nhiều thay đổi rõ dệt như khi nâng cấp lên từ
Windows Server 2003. WS 2008 đã bổ sung thêm nhiều cải
thiện lớn đối với Terminal Services, gồm có TS Web Access
cho việc kết nối trình duyệt web, TS Gateway cho người dùng
kết nối qua Internet, RemoteApp cho việc phân phối các ứng
dụng đơn lẻ đến người dùng qua Remote Desktop Protocol
(RDP) và Session Broker có trong tính năng cân bằng tải.
WS 2008 R2 đã bổ sung thêm nhiều điểm thú vị:
Remote Desktop Virtualization cho giải pháp VDI
RDS Provider cho PowerShell để các quản trị viên có thể
thay đổi cấu hình và thực hiện các nhiệm vụ tại cửa sổ dòng lệnh
và thông qua kịch bản.
Remote Desktop IP Virtualization, cho phép gán các địa
chỉ IP cho các kết nối trên cơ sở session hoặc chương trình.
Một phiên bản RDP mới và máy khách Remote Desktop
Connection (RDC), v. 7.0
Fair Share CPU scheduling cho phép phân phối động thời
gian xử lý giữa các session dựa trên số session tích cực.
Windows Installer compatibility cho phép dễ dàng cài đặt
các chương trình yêu cầu cấu hình trên người dùng.
True multiple monitor hỗ trợ lên đến 16 màn hình, nhờ đó
các chương trình hoạt động giống như chúng làm việc khi khi
chạy trên máy khách.
Ngoài ra còn có nhiều cải thiện về audio/video cũng như sự hỗ
trợ cho Windows Aero trong RD session (mặc dù vậy cần lưu ý
rằng Desktop Composition, cho phép Aero, không được hỗ trợ
trong một session đa màn hình).
Các cơ chế và sự ảnh hưởng bảo mật
Rõ ràng, các vấn đề bảo mật tiềm tàng phụ thuộc vào cách bạn
triển khai RDS. Nếu bạn có một thiết lập phức tạp hơn, với
những người dùng kết nối qua Internet hay thông qua một trình
duyệt web, bạn sẽ có nhiều vấn đề bảo mật hơn so với trường
hợp chỉ có một triển khai đơn giản, nơi người dùng chỉ có kết
nối thông qua máy khách RDC qua LAN.
RDC gồm có một số cơ chế bảo mật có thể trợ giúp bạn tạo các
kết nối RD an toàn hơn.
Nhận thực mức mạng (NLA)
Để bảo mật tốt nhất, bạn nên yêu cầu Network Level
Authentication (NLA) cho tất cả kết nối. NLA yêu cầu người
dùng cần được nhận thực đối với RD Session Host server trước
khi tạo session. Điều này giúp bảo vệ máy tính từ xa tránh được
người dùng nguy hiểm và mã độc. Để sử dụng NLA, máy khách
phải sử dụng một hệ điều hành hỗ trợ các giao thức Credential
Security Support Provider (CredSSP), có nghĩa Windows XP
SP3 hoặc phiên bản hệ điều hành cao hơn, và đang chạy máy
khách RDC 6.0 hoặc cao hơn.
NLA được cấu hình trên RD Session Host server thông qua
Administrative Tools | Remote Desktop Services | Desktop
Session Host Configuration. Để cấu hình một kết nối để sử dụng
NLA, bạn thực hiện theo các bước sau:
Kích phải vào Connection
Chọn Properties
Kích tab General
Tích vào hộp chọn “Allow connections only from
computers running Remote Desktop with Network Level
Authentication” như thể hiện trong hình 1.
Kích OK.
Hình 1
Transport Layer Security (TLS)
Một RDS session có thể sử dụng một trong ba lớp bảo mật để
bảo vệ sự truyền thông giữa máy khách và RDS Session Host
server:
RDP security layer – Lớp này sử dụng mã hóa RDP
nguyên bản và là lớp kém an toàn nhất. RD Session Host server
không được nhận thực.
Negotiate – Mã hóa TLS 1.0 (SSL) sẽ được sử dụng nếu
máy khách hỗ trợ nó. Nếu không session sẽ quay trở lại bảo mật
RDP.
SSL – Mã hóa TLS 1.0 sẽ được sử dụng để nhận thực máy
chủ và mã hóa dữ liệu được gửi giữa máy khách và Session Host
server. Đây là tùy chọn an toàn nhất.
Để thực hiện bảo mật tốt nhất, bạn có thể yêu cầu mã hóa
SSL/TLS. Để có được điều đó, bạn cần có một chứng chỉ số,
đây là chứng chỉ có thể được phát hành bởi một CA nào đó hoặc
tự ký.
Ngoài việc lựu chọn lớp bảo mật, bạn có thể chọn lớp mã hóa
cho kết nối. Các tùy chọn bạn có thể lựa chọn ở đây là:
Low – Sử dụng mã hóa 56 bit cho dữ liệu được gửi từ máy
khách đến máy chủ. Không mã hóa dữ liệu được gửi từ máy chủ
về máy khách.
Client Compatible – Đây là tùy chọn mặc định. Nó sẽ mã
hóa dữ liệu được gửi theo cả hai chiều giữa máy khách và máy
chủ với độ dài khóa lớn nhất máy khách có thể hỗ trợ.
High – Tùy chọn này sẽ mã hóa dữ liệu được gửi theo cả
hai hướng giữa máy khách và máy chủ với mã hóa 128 bit.
FIPS Compliant – Tùy chọn này mã hóa dữ liệu theo cả
hai hướng giữa máy khách và máy chủ với mã hóa được FIPS
140-1.
Cần lưu ý rằng nếu bạn chọn mức High hoặc FIPS Compliant,
các máy khách nào không hỗ trợ các mức này sẽ không thể kết
nối.
Đây là cách cấu hình các thiết lập nhận thực máy chủ và mã hóa:
Trên RD Session Host, mở Remote Desktop Session Host
Configuration và hộp thoại Properties của kết nối như được
mô tả ở trên.
Trên tab General, chọn lớp bảo mật và mức mã hóa thích
hợp từ các hộp sổ xuống, như thể hiện trong hình 2.
Kích OK.
Hình 2
Bạn cũng có thể sử dụng Group Policy để điều khiển các thiết
lập nhận thực và mã hóa này, cùng với các khía cạnh khác của
RDS.
