站内搜索  

哈尔滨百姓网首页 | 操作系统 | 软件应用 | 平面设计 | 程序开发 | 硬件维护 | 网络安全
 您的位置: 哈尔滨百姓网 > 电脑网络 > 网络安全 > 阅读文章:保障远程桌面Web连接安全四项注意
保障远程桌面Web连接安全四项注意
2010-1-25 10:28:12 哈尔滨百姓网 来源:宾县百姓网-收集整理 浏览 次 【 】【打印】【关闭

  远程网络连接在企业的信息化应用中是一门比较实用的技术。他可以通过各种方式实现,如VPN、远程控制工具等等。不过,远程桌面Web连接也是其中的一个佼佼者。如不少企业,会在企业的门户网站上留一个通向企业内网的接口。这可以让不在公司的员工可以实时的了解企业的信息,也可以让他们在有需要的时候访问相关的内部系统。

  简单的说,远程桌面Web连接就是通过与企业的Web服务器连接,从而实现与某台特定计算机的终端服务器之间的通信。最重要的是,在客户端上不需要安装任何的插件。这就使得远程桌面Web连接受到很多网络管理员的青睐。

  但是,由于在客户端上不需要任何的设置,这就导致远程连接的安全重任都落在了企业Web服务器的肩膀上。故一些“远程桌面Web连接”的相关软件都提供了很高级别的安全设置。下面笔者就以Windows2003自带的IIS插件为例,谈谈该如何做好远程桌面的Web连接安全设置。

  一、是否允许匿名访问

  在考虑远程桌面Web连接安全的时候,第一个要考虑的问题就是“是否允许匿名访问”。如果允许用户“匿名访问”,则选择“启用匿名访问”复选框。默认情况下,系统在安装的时候,已经为匿名用户创建了一个公用帐户。当然用户也可以自己设置用户所需要采用的帐户以及相关的权限。匿名用户在访问的时候,也可以不使用用户名与密码登陆,而直接删除系统提供的默认用户帐户与密码即可以访问。

  如果不允许匿名帐户登陆,则可以不管这个复选框。不过需要在“用户访问需要经过身份验证”选择具体的身份验证方式。

  一般情况下,如果该Web服务器是为公众使用的,则就要启用“匿名访问”。但是,若在这个公用的Web服务器上,还提供企业内部员工访问企业内网的一个通道的时候,就要把这个单独的网页,设置为“用户访问需要经过身份验证”。并且根据企业安全要求的不同,选择合适的身份验证方式。

  二、根据安全级别选择合适的身份验证方式

  在微软2003服务器系统自带的IIS插件中,主要提供了三种身份验证方式。不同的验证方式对应着不同的安全级别与不同的兼容性。

  第一种是“Windows域服务器的摘要式身份验证”。这种认证方式必须要有活动目录的支持,也就是说,他是采取域用户身份验证方式。他主要在网络上发送哈希值,采用密文传输,而不是明文传输。故其安全性是非常高的。另外,这种身份认证方式往往还不受防火墙配置的影响。因为摘要式身份验证方是越过了代理服务器和其他防火墙,与代理服务器和其他防火墙一起工作;并且在Web分布式创作以及版本控制目录中可用。若企业实现了域环境,则这是首选的身份验证方式。

  第二种是“基本身份验证”方式。这跟第一种身份验证方式最大的差异就是,前者在网络中传输的是哈希值。而后者则是以明文的方式在网络中传输密码。这种身份验证方式有优点也有缺点。优点是它完全遵循了HTTP规范,故他被大多数的浏览器所支持。不仅微软的IE浏览器支持他;在Linux操作平台上的Mazida浏览器也可以很好的兼容。缺点就是因为其帐户与密码都是明文传输,所以,其安全性方面就得不到保证。

  第三种是“NET Passport身份验证”选项。这种身份验证方式,也是不基于操作系统的,跟现在市场上的大部分浏览器都能够很好的兼容。现在很多门户网站提供了“一站式的访问”,即凭借一个网络通行证,可以同时访问博客、邮件、网络商店等等,就是采用了这种技术。NET Passport允许站点的管理员创建独立的用户名与密码,保证对所有启用的NET Passport网站和服务的访问安全。这个身份验证方式,是通过中央服务器来对用户进行身份验证,而不是主控和维护其自己的专用身份验证系统。如此的话,他才可以脱离具体的应用,为访问者提供“一站式帐户”。

  在这三种身份认证方式中,笔者倾向与第三种。

  一方面,“NET Passport身份验证”选项不受操作系统与浏览器版本的约束。像“Windows域服务器的摘要式身份验证”,必须与活动目录帐户一起运作。这个限制就比较大。不仅需要有一个域环境,而且还需要微软的IE浏览器。一般用户很难同时满足这两个需求。所以,虽然其安全性比较高,但是,仍然不能够得到大范围的应用。

  其次,“基本身份验证”方式虽然兼容性比较好,但是,由于其用户名与口令是通过明文传输的,安全上就大打折扣了。所以,也不是上上之选。

  而“NET Passport身份验证”不仅兼容性好,而且还提供了“一站式”的访问模式。企业可以把相关的服务,如电 子商务、OA系统等等都集成在Web服务器上。然后员工访问不同的应用服务时,不需要频繁的更换帐户。这种处理方式,更加的人性化。[NextPage]

  三、通过“IP地址与域名限制”,过滤用户的访问

  我们通过远程桌面Web访问主要可以分为两类。一类是普通员工的访问,主要是不在公司的时候,以Web服务器为跳板,访问企业内部的系统。另一类就是网络管理员通过这种方式远程管理相关的应用服务器。

  为此,就需要根据不同的应用类型,来进行IP地址限制,以提高Web连接的安全性。

  如可以把内网的IP地址都禁止掉,只留下网络管理员的IP地址。如此的话,可以限制企业员工在内部网上通过Web连接访问企业内部的应用系统。若员工这么做的话,就如同“脱裤子放屁,多此一举”。因为员工在公司中可以直接通过内部局域网进行访问。

  所以,IP地址与域名限制是一种很好的安全控制机制。

  四、要求采用安全通道,提高数据传输过程中的安全性

  在微软自带的IIS插件中,还支持安全通道的设置。如在“安全通信”页签中,可以为远程桌面Web连接的通信通道进行安全配置。如可以选择“要求安全通道”选项,并且可以选择“要求128位加密”。这样就可以对通信过程中的通信通道采用SSL加密,同时对其中的数据也进行128位的加密,对网络传输的数据实现双重保护。

  对于安全性要求比较高的企业,如在门户网站中集成了电子商务模块的企业,则建议采用这种“安全通道”。以最大程度的对数据进行安全防护。

[责任编辑:佚名]
 相关文章
·Web服务器如何避免CC攻击 (2011-3-18 13:07:03)
·局域网遭ARP攻击网络掉线批处理 (2010-3-2 13:34:37)
·教你六招处理服务器数据意外丢失 (2010-1-25 10:26:07)
·IIS安全设置让Webshell无用武之地 (2009-11-3 11:07:16)
·SQL Server 2000 安全模 (2009-9-21 14:47:07)
·资深网管教你打造SSL加密的安全站点 (2009-8-4 12:21:34)
·利用麦咖啡打造超安全的Web站点目录 (2009-6-23 10:05:18)
·让你的电脑在局域网中轻松隐身 (2009-4-27 11:29:38)
·安全防护策略-打造堡垒主机 (2009-4-17 9:06:45)
·SA弱口令带来的安全隐患 (2009-4-15 16:55:38)
·Microsoft SQL Server SA (2009-4-15 16:53:11)
·ISA Server 2006常用功能疑难 (2009-4-15 16:45:32)
·ISA Server 2006高级应用指南 (2009-4-15 16:38:42)
·十招妙招 确保WindowsXP系统安全 (2009-4-15 16:25:26)
·Windows 2003服务器安全配置终极技 (2009-4-15 16:18:12)
·Windows 2003 server变态磁盘 (2009-4-15 16:08:43)
·Windows下PHP+MySQL+IIS安全平台III  (2009-4-15 15:49:42)
·Windows XP中鲜为人知的热键漏洞 (2009-4-15 15:42:55)
·利用xp网络身份验证功能 让远程连接 (2009-4-15 15:41:22)
·终级Win2003服务器安全配置篇 (2009-4-15 15:38:50)
 热门文章 哈尔滨电脑
·SQL Server到底需要使用哪些端口?
·安全防护策略-打造堡垒主机
·把重要的Word 2003文档放到菜单中
·资深网管教你打造SSL加密的安全站点
·您试图在此 Web 服务器上访问的 
·还有2天发布 Windows7必备77条小知识
·Photoshop制作火焰的神龙
·Win2003架设多用户隔离Ftp服务器
·XP系统服务恢复批处理
·Asp伪静态的实现及URL重写-用ISAPI_Rewrite实现
·情侣玩儿法:用虚拟硬盘打造坚不可摧的影子系统
 推荐文章 哈尔滨电脑
·精简节约!小公司办公打印省钱全攻略
·CSS布局方法的十八般技巧和兼容方案
·三种方法 教你解决输入法不显示的问题
·当红情侣QQ表情:茉莉和龙井
·Win 7出现休眠Bug 微软提供解决方案
·将Powerpoint文档转换为Word文档
·非常实用来学习连续供墨系统入门知识
·怕吃亏?怕假的?鉴别真假耗材的小窍门
·情侣玩儿法:用虚拟硬盘打造坚不可摧的影子系统
·开始—运行(cmd)命令大全
·您试图在此 Web 服务器上访问的 
 最新文章 哈尔滨电脑
·Web服务器如何避免CC攻击
·SQL Server到底需要使用哪些端口?
·XP系统服务恢复批处理
·局域网遭ARP攻击网络掉线批处理
·CISCO 2811 路由器配置命令全集
·避免“悲剧” 打印机使用技巧全面攻略
·保障远程桌面Web连接安全四项注意
·教你六招处理服务器数据意外丢失
·挑选相纸有学问 教你如何辨别相纸优劣
·精简节约!小公司办公打印省钱全攻略
·CSS布局方法的十八般技巧和兼容方案