加固终端服务的安全性

终端服务添加和改进的功能

在Windows Server 2003和Windows XP中，终端服务是默认安装的。究其原因就是许多应用都依赖终端服务。包括快速切换用户（Fast User Switching）、远程协助（Remote Assistance）、远程桌面（Remote Desktop)、终端服务器（Terminal Server）等。但由于终端服务本身的安全性，造成基于该服务的其他应用的安全性造成了威胁，所以本文主要讲述的是如果加强终端服务的安全问题，并做出一些思考。远程桌面（Remote Desktop)、终端服务器（Terminal Server）在大多数情况下都是使用本地或远程组策略对象（Group Policy Objects,GPO）来管理用户访问权限的。远程桌面用于一些系统管理服任务，用来远程管理服务器配置和服务等。远程桌面只限两个用户的连接（另外还允许控制台的一个连接）。终端服务器用于许多并发用户的情况，可并发的用户数量一般却决于许可证数量和硬件的限制。远程桌面连接所采用的协议是（Remote Desktop Protocol,RDP）,在Windows Server 2003中使用的是最新的RDP 5.2协议。RDP5.2支持将服务从服务器映射到客户端，这意味着你可以快速的管理你的服务器上的服务。映射打印机端口、COM端口、剪贴板、驱动器等的都是RDP 5.2的范畴。（申明：腾讯的QQ软件中的远程连接不是采用RDP协议，它不能远程输入字符，复制文章等。只能用鼠标进行操作）我们可以使用这些功能完成从远程的服务端复制文本然后粘贴到本地计算机（如果你用过远程连接的就清楚了）。同样，对于基于RDP5.2的基本功能都能完美实现。

说明：如果你细心就会发现，远程桌面和终端服务器默认是不安装的。（请注意这里是终端服务器，不是终端服务，以免弄混淆）

安装终端服务器

上面我们提到的终端服务器是不被默认安装的，所以我们必须手动安装。

安装终端管理器之前请先考虑下是否允许终端服务器的普通用户和管理员连接至INTERNET。还有一点，Windows Server 2003默认安装了“IE增强的安全配置”，当你打开IE后你就会发现。如图：

该安全配置动态连接数据库由shdoclc.dll控制，连接res://shoclc.dll/hardAdmin.htm

该设置默认将安全级别设置为“高”。安装了终端服务器会降低安全级别，所以要考虑到这一点。在您安装终端服务器的时候也会提示这点。对于服务器来讲，安全级别的高低决定了来自INTERNET信息的限制，如果安全级别较低，将有可能造成恶意ActiveX的安装和感染网页木马等。

安装流程：

打开控制面板，“添加或删除程序”，点击“添加/删除Windows组件”，选择“IE增强的安全配置”（IE Enhanced Security Configuration）。

管理员组使用：限制管理员组得用户浏览INTERNET和INTERNET网站。

其他所有用户组使用：限制所有其他用户组地用户浏览INTERNET和INTERNET网站。

去除“所有其他用户组”将解除对普通用户的限制。在“管理组”（ADMIN组）复选中保留的钩的话，则普通用户可以正常地浏览WEB站点，但是具有高级权限的管理员使用IE时将受到很多限制。

安装终端服务器，找到“终端服务器”组件并选中，由于该组件不需要占用资源，也不需要插入安装盘。说明一下，在安装终端服务器的120天期限后，终端服务器需要一个终端服务器许可证服务，许可证服务在Windows Server 2003中也有了很大的改变。

注意：在安装完终端管理器后，将不能使用远程桌面。由前面我们知道，这两个功能都基于RDP5.2的，所以在使用终端管理器时，将替代远程桌面的功能，后者只支持两个用户的连接。

之后安装向导将询问您的终端服务器对其他应用的权限许可，有两种选择，如图：

这两种方式设置定义了终端服务器用户访问注册表和特定的系统文件的权限。在完整安全模式下，用户将无法对特定应用程序的注册表键值和某些系统文件做写入操作。这种设置可能会使某些基于NT 4.0的计算机应用无法正常运行，因为他们要求本地管理员权限。在这种情况下，你依然可以使用完整安装模式，但是您必须修改该应用程序在注册表的值，修改它的安全入口控制设置（Security Access Control Entry），设置为允许终端用户写入。这样方法可能并不合适用于所有的情况，当你发现应用仍然无法进行时，你必须使用终端服务配置工具，将安全设置修改成宽松安全模式，后面我会详细说明。

松散安全性设置有可能会给系统带来一些危险，上面我已经提及过了，例如蠕虫、病毒或者黑客，它们有可能利用服务器的低安全设置，从而修改系统的设置。所以，这种模式不应该优先考虑。

启用远程桌面

方法一：在Windows Server 2003中，远程桌面和终端服务器安装位置是不同的。使用远程桌面可以打开“控制面板”，找到“系统”，然后点“远程”选项卡，选择“允许”，然后添加远程连接的用户。该用户将直接添加到本地计算机的用户组Remote Desktop Users中。默认情况下只有ADMIN权限以及Remote Desktop Users组的成员才能使用远程桌面。

方法二：在域或本地策略对象（GPO）中，给用户分配“允许通过终端服务器”的权限也可以完成配置。

以上我介绍了如何安装终端服务器和远程桌面的方法，并且说明了下应该注意的地方，下面，我将向大家介绍如何确保终端服务器的安全。

加强终端服务器的安全

用过终端服务器的人都应该知道，用户创建会话，使用NTFS的访问控制列表（ACLs）来控制数据的访问，使用活动目录的组策略对象（GPOs）和终端服务配置工具（TSCC）来配置终端服务器是加固终端服务器的安全性的主要方法。

控制连接访问
使用为终端服务提供的权限控制用户和组如何访问服务器。可以改变默认权限以限制单独用户和组执行特定任务，例如从会话中注销用户或结束会话。从配置终端服务中管理权限。必须以 Administrators 组的成员身份登录才能设置连接权限。

在默认情况下，有三种类型的权限：完全控制、用户访问和来宾访问。

可以通过设置用户或组可用于特定任务的权限对这些内容进行配置。

限制数据访问

控制连接访问只不过是从连接的用户上做出了策略，如果你向具体深入到数据层呢?比如对数据的加密，文件的访问权限嗯？那么你就可以配置文件的NTFS访问权限列表了。但是我们通常是使用GPO来进行管理，因为GPO可以连接到域、站点，或者AD和OU对象，这样就可以将GPO的设置强制应用于整个容器中的对象。

要应用软件限制策略GPO，首先要创建一个新的GPO。打开组策略（gpedit.msc）在“计算机配置”下的“安全设置”，找到“软件限制策略”。默认情况下是没有软件限制策略的，那么我们点击菜单栏中的“操作”－“创建软件策略”，在右边的控制栏中我们可以看到新创建的5个类型。分别为：安全级别，其他规则，强制，指派文件类型，受信任的发布者。

双击“强制”，该项目将决定了软件限制的具体内容，如图：

这里将限制到软件以及用户，请更具具体的情况加以配置。在指派文件类型中你可以指派限制的文件类型，包括很多内容。

打开“安全级别”，默认情况下软件的策略为“不受限”的，即允许所有的软件运行。如果使用“不允许的”，将大大限制软件的使用，包括软件不运行。

在创建了新的软件限制策略时，Windows默认会添加四条附加策略规则，包括：

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionSystemRoot%

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionSystemRoot%*.exe

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionSystemRoot%System32*.exe

%HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionProgramFilesDir%

有了这些规则，即使软件限制策略的级别设置为“不允许”，终端服务器仍然可以正常运作。如果你想为某个应用程序设置不同于默认级别的权限，必须在“附加规则”中添加它。

使用组策略对象(GPO)优化安全配置

依次打开：计算机配置－管理模板－系统－组策略，我们可以看到很多的规则。GPO不仅可以修改终端服务器访问的权限设置，也可以修改用户访问的权限设置。一个GPO对象包括了计算机配置和用户配置两个方面，但本质上两个配置是由独立的GPO对象调用的。

使用WMI配置终端服务
终端服务 Windows Management Instrumentation (WMI) 提供程序，使管理员可以为配置、管理和查询终端服务器创建自定义脚本。它包含可执行与终端服务配置工具和命令行实用程序（随 Windows Server 2003 家族操作系统提供）相同任务的属性和方法，但它们是远程执行并通过脚本应用程序。

Windows Management Instrumentation (WMI) 定义了描述、访问和实现对象的统一体系结构。该体系结构的一部分是 WMI 类别的大型数据库，这些类别用于在特定对象上执行远程管理任务。

提供程序扩展了 WMI 类别架构，使 WMI 可以与新类型的对象一起工作。终端服务提供程序定义了用于查询和配置终端服务的类别。

终端服务提供程序在 %systemroot%System32Wbemtscfgwmi.mof 中进行定义。

具体的终端服务 WMI 类别请见MS管理控制台的帮助文件。

使用 TSCC 配置终端服务

终端服务连接提供了可使客户端登录到服务器上的会话的链接。安装终端服务时配置了 TCP/IP 连接。使用终端服务配置，您可以更改连接的默认属性或添加新连接。

你可以直接在终端服务器上使用TSCC工具来进行服务器的安全配置。（注意：如果采用了GPO设置，TSCC中的配置将不起作用，因为GPO的优先级更高）

使用方法：管理工具－终端服务配置。在左边提供两个设置。

连接：由于终端服务依靠RDP5.2协议，所以这里使用“连接”选项可以对RDP 5.2以及连接方式进行配置。

服务器设置：你可以在此修改它的权限许可兼容模式，即完整安全模式和宽松安全模式，也可以限制一个用户只有一个会话。这个限制减少了已经失效会话中的应用程序对其他用户会话的影响。

在终端服务器中使用临时文件夹

在默认情况下，终端服务器会为服务器上的每个新会话创建单独的临时文件夹，使每个用户都可以存储各自的临时文件。为回收磁盘空间，当用户从会话中注销时会删除这些临时文件夹。如果要更改终端服务器的这些默认设置，请使用组策略（最佳操作）或配置终端服务进行修改。

退出时删除或保留临时文件夹

方法：打开组策略。在“计算机配置”、“管理模板”、“Windows 组件”、“终端服务”、“临时文件夹”中，双击“在退出时不删除临时文件夹”设置。

当用户从会话中注销时要保留用户临时文件夹时，请单击“已启用”。当用户注销时要删除用户临时文件夹，请单击“已禁用”。单击“确定”。

要点

在将组策略设置应用到用户或计算机之前，应全面测试对其进行的任何更改。有关测试策略设置的详细信息，请参阅策略的结果集。

每个会话使用单独的临时文件夹

方法：打开组策略。在“计算机配置”、“管理模板”、“Windows 组件”、“终端服务”、“临时文件夹”中，双击“不对每次会话使用临时文件夹”设置。

要禁用为每个终端服务器会话创建单独的临时文件夹，请单击“已启用”。要启用为每个终端服务器会话创建单独的临时文件夹，请单击“已禁用”。单击“确定”。

终端服务器其他设置
作为一台共享的计算机，除了终端服务的安全配置之外，我们还需要考虑修改一些其他非必要的计算机设置。例如，防止用户关闭计算机，限制搜索功能，限制浏览磁盘，修改基本文件夹的指向等等。包括Application Data,桌面，My Documents,以及Start Menu这些文件夹，最好将他们移动到共享的位置，不要放到终端服务器上。在组策略编辑器中，展开“用户配置－WINDOWS设置－文件夹重定向”，就可以修改这些文件的默认位置。

总结

加强终端服务器的安全性是非常重要的，在去年，黑客通过3389进攻的例子就有很多很多了。所以，配置好终端服务是非常重要的。

如果您是使用Windows Server 2003的话，那么你应该知道终端服务在Windows Server 2003有了很大的提高。终端服务在Windows Server 2003中有了新的设计，远程桌面（Remote Desktop）取代了Windows 2000 Server中的终端服务远程管理的模式，客户端与服务器之间的加密措施有了很大的提高。而且在组策略中，终端服务有了较强的提升。在Windows Server 2003中，又有新的管理工具，这些工具包括终端服务组策略、终端服务 WMI 提供程序、终端服务配置工具、到本地用户和组以及 Active Directory 用户和计算机的终端服务扩展。