當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

保障遠(yuǎn)程桌面Web連接安全四點(diǎn)注意

http://www.yibo1263.com　2009/1/13 10:18:09 　來源:東北IT網(wǎng) 　編輯:葉子

　　遠(yuǎn)程網(wǎng)絡(luò)連接在企業(yè)的信息化應(yīng)用中是一門比較實(shí)用的技術(shù)。他可以通過各種方式實(shí)現(xiàn)，如VPN、遠(yuǎn)程控制工具等等。不過，遠(yuǎn)程桌面Web連接也是其中的一個佼佼者。如不少企業(yè)，會在企業(yè)的門戶網(wǎng)站上留一個通向企業(yè)內(nèi)網(wǎng)的接口。這可以讓不在公司的員工可以實(shí)時的了解企業(yè)的信息，也可以讓他們在有需要的時候訪問相關(guān)的內(nèi)部系統(tǒng)。

　　簡單的說，遠(yuǎn)程桌面Web連接就是通過與企業(yè)的Web服務(wù)器連接，從而實(shí)現(xiàn)與某臺特定計(jì)算機(jī)的終端服務(wù)器之間的通信。最重要的是，在客戶端上不需要安裝任何的插件。這就使得遠(yuǎn)程桌面Web連接受到很多網(wǎng)絡(luò)管理員的青睞。

　　但是，由于在客戶端上不需要任何的設(shè)置，這就導(dǎo)致遠(yuǎn)程連接的安全重任都落在了企業(yè)Web服務(wù)器的肩膀上。故一些“遠(yuǎn)程桌面Web連接”的相關(guān)軟件都提供了很高級別的安全設(shè)置。下面筆者就以Windows2003自帶的IIS插件為例，談?wù)勗撊绾巫龊眠h(yuǎn)程桌面的Web連接安全設(shè)置。

　　一、是否允許匿名訪問

　　在考慮遠(yuǎn)程桌面Web連接安全的時候，第一個要考慮的問題就是“是否允許匿名訪問”。如果允許用戶“匿名訪問”，則選擇“啟用匿名訪問”復(fù)選框。默認(rèn)情況下，系統(tǒng)在安裝的時候，已經(jīng)為匿名用戶創(chuàng)建了一個公用帳戶。當(dāng)然用戶也可以自己設(shè)置用戶所需要采用的帳戶以及相關(guān)的權(quán)限。匿名用戶在訪問的時候，也可以不使用用戶名與密碼登陸，而直接刪除系統(tǒng)提供的默認(rèn)用戶帳戶與密碼即可以訪問。

　　如果不允許匿名帳戶登陸，則可以不管這個復(fù)選框。不過需要在“用戶訪問需要經(jīng)過身份驗(yàn)證”選擇具體的身份驗(yàn)證方式。

　　一般情況下，如果該Web服務(wù)器是為公眾使用的，則就要啟用“匿名訪問”。但是，若在這個公用的Web服務(wù)器上，還提供企業(yè)內(nèi)部員工訪問企業(yè)內(nèi)網(wǎng)的一個通道的時候，就要把這個單獨(dú)的網(wǎng)頁，設(shè)置為“用戶訪問需要經(jīng)過身份驗(yàn)證”。并且根據(jù)企業(yè)安全要求的不同，選擇合適的身份驗(yàn)證方式。

　　二、根據(jù)安全級別選擇合適的身份驗(yàn)證方式

　　在微軟2003服務(wù)器系統(tǒng)自帶的IIS插件中，主要提供了三種身份驗(yàn)證方式。不同的驗(yàn)證方式對應(yīng)著不同的安全級別與不同的兼容性。

　　第一種是“Windows域服務(wù)器的摘要式身份驗(yàn)證”。這種認(rèn)證方式必須要有活動目錄的支持，也就是說，他是采取域用戶身份驗(yàn)證方式。他主要在網(wǎng)絡(luò)上發(fā)送哈希值，采用密文傳輸，而不是明文傳輸。故其安全性是非常高的。另外，這種身份認(rèn)證方式往往還不受防火墻配置的影響。因?yàn)檎缴矸蒡?yàn)證方是越過了代理服務(wù)器和其他防火墻，與代理服務(wù)器和其他防火墻一起工作；并且在Web分布式創(chuàng)作以及版本控制目錄中可用。若企業(yè)實(shí)現(xiàn)了域環(huán)境，則這是首選的身份驗(yàn)證方式。

　　第二種是“基本身份驗(yàn)證”方式。這跟第一種身份驗(yàn)證方式最大的差異就是，前者在網(wǎng)絡(luò)中傳輸?shù)氖枪Ｖ怠６笳邉t是以明文的方式在網(wǎng)絡(luò)中傳輸密碼。這種身份驗(yàn)證方式有優(yōu)點(diǎn)也有缺點(diǎn)。優(yōu)點(diǎn)是它完全遵循了HTTP規(guī)范，故他被大多數(shù)的瀏覽器所支持。不僅微軟的IE瀏覽器支持他；在Linux操作平臺上的Mazida瀏覽器也可以很好的兼容。缺點(diǎn)就是因?yàn)槠鋷襞c密碼都是明文傳輸，所以，其安全性方面就得不到保證。

　　第三種是“NETPassport身份驗(yàn)證”選項(xiàng)。這種身份驗(yàn)證方式，也是不基于操作系統(tǒng)的，跟現(xiàn)在市場上的大部分瀏覽器都能夠很好的兼容�，F(xiàn)在很多門戶網(wǎng)站提供了“一站式的訪問”，即憑借一個網(wǎng)絡(luò)通行證，可以同時訪問博客、郵件、網(wǎng)絡(luò)商店等等，就是采用了這種技術(shù)。NETPassport允許站點(diǎn)的管理員創(chuàng)建獨(dú)立的用戶名與密碼，保證對所有啟用的NETPassport網(wǎng)站和服務(wù)的訪問安全。這個身份驗(yàn)證方式，是通過中央服務(wù)器來對用戶進(jìn)行身份驗(yàn)證，而不是主控和維護(hù)其自己的專用身份驗(yàn)證系統(tǒng)。如此的話，他才可以脫離具體的應(yīng)用，為訪問者提供“一站式帳戶”。

　　在這三種身份認(rèn)證方式中，筆者傾向與第三種。

　　一方面，“NETPassport身份驗(yàn)證”選項(xiàng)不受操作系統(tǒng)與瀏覽器版本的約束。像“Windows域服務(wù)器的摘要式身份驗(yàn)證”，必須與活動目錄帳戶一起運(yùn)作。這個限制就比較大。不僅需要有一個域環(huán)境，而且還需要微軟的IE瀏覽器。一般用戶很難同時滿足這兩個需求。所以，雖然其安全性比較高，但是，仍然不能夠得到大范圍的應(yīng)用。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·穿越防火墻讓遠(yuǎn)程桌面自由連接

·教你遠(yuǎn)程開啟目標(biāo)計(jì)算機(jī)的遠(yuǎn)程桌面

·解除Server2008遠(yuǎn)程桌面管理的關(guān)卡

·清除遠(yuǎn)程桌面連接IP域名信息

·Windows下3389遠(yuǎn)程桌面安全方案

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费