Bảo mật dịch vụ máy trạm từ xa Windows Server 2008 R2 Quản trị mạng – Trong bạn nghiên cứu số chế bảo mật có RDS với cách sử dụng Group Policy thiết lập cấu hình Remote Desktop Services (RDS) Windows Server 2008 R2 có nhiều tính so với dịch vụ Terminal Services cũ trước Với tính (một số chúng có Windows Server 2008) chẳng hạn RemoteApp, RD Gateway RD Virtualization Host, Windows Server role cho phép bạn linh động việc triển khai ứng dụng riêng lẻ máy trạm hoàn chỉnh qua giải pháp RDS VDI – nhiều trường hợp mà không cho hệ thống Citrix add-on hãng thứ ba khác Tuy nhiên mặt bảo mật, phức tạp bổ sung biến thành thức thức bảo mật Chính này, giới thiệu cho bạn chế bảo mật bên RDS, giới thiệu cách sử dụng thiết lập cấu hình Group Policy để bảo mật tốt hơn, bên cạnh cách thực bảo mật tốt cho triển khai RDS Điểm R2 Nếu đến với RDS từ Windows Server 2008 Terminal Services, bạn không thấy nhiều thay đổi rõ dệt nâng cấp lên từ Windows Server 2003 WS 2008 bổ sung thêm nhiều cải thiện lớn Terminal Services, gồm có TS Web Access cho việc kết nối trình duyệt web, TS Gateway cho người dùng kết nối qua Internet, RemoteApp cho việc phân phối ứng dụng đơn lẻ đến người dùng qua Remote Desktop Protocol (RDP) Session Broker có tính cân tải WS 2008 R2 bổ sung thêm nhiều điểm thú vị:  Remote Desktop Virtualization cho giải pháp VDI  RDS Provider cho PowerShell để quản trị viên thay đổi cấu hình thực nhiệm vụ cửa sổ dịng lệnh thơng qua kịch  Remote Desktop IP Virtualization, cho phép gán địa IP cho kết nối sở session chương trình  Một phiên RDP máy khách Remote Desktop Connection (RDC), v 7.0  Fair Share CPU scheduling cho phép phân phối động thời gian xử lý session dựa số session tích cực  Windows Installer compatibility cho phép dễ dàng cài đặt chương trình yêu cầu cấu hình người dùng  True multiple monitor hỗ trợ lên đến 16 hình, nhờ chương trình hoạt động giống chúng làm việc khi chạy máy khách Ngoài cịn có nhiều cải thiện audio/video hỗ trợ cho Windows Aero RD session (mặc dù cần lưu ý Desktop Composition, cho phép Aero, khơng hỗ trợ session đa hình) Các chế ảnh hưởng bảo mật Rõ ràng, vấn đề bảo mật tiềm tàng phụ thuộc vào cách bạn triển khai RDS Nếu bạn có thiết lập phức tạp hơn, với người dùng kết nối qua Internet hay thơng qua trình duyệt web, bạn có nhiều vấn đề bảo mật so với trường hợp có triển khai đơn giản, nơi người dùng có kết nối thơng qua máy khách RDC qua LAN RDC gồm có số chế bảo mật trợ giúp bạn tạo kết nối RD an toàn Nhận thực mức mạng (NLA) Để bảo mật tốt nhất, bạn nên yêu cầu Network Level Authentication (NLA) cho tất kết nối NLA yêu cầu người dùng cần nhận thực RD Session Host server trước tạo session Điều giúp bảo vệ máy tính từ xa tránh người dùng nguy hiểm mã độc Để sử dụng NLA, máy khách phải sử dụng hệ điều hành hỗ trợ giao thức Credential Security Support Provider (CredSSP), có nghĩa Windows XP SP3 phiên hệ điều hành cao hơn, chạy máy khách RDC 6.0 cao NLA cấu hình RD Session Host server thông qua Administrative Tools | Remote Desktop Services | Desktop Session Host Configuration Để cấu hình kết nối để sử dụng NLA, bạn thực theo bước sau:  Kích phải vào Connection  Chọn Properties  Kích tab General  Tích vào hộp chọn “Allow connections only from computers running Remote Desktop with Network Level Authentication” thể hình  Kích OK Hình Transport Layer Security (TLS) Một RDS session sử dụng ba lớp bảo mật để bảo vệ truyền thông máy khách RDS Session Host server:  RDP security layer – Lớp sử dụng mã hóa RDP nguyên lớp an tồn RD Session Host server khơng nhận thực  Negotiate – Mã hóa TLS 1.0 (SSL) sử dụng máy khách hỗ trợ Nếu không session quay trở lại bảo mật RDP  SSL – Mã hóa TLS 1.0 sử dụng để nhận thực máy chủ mã hóa liệu gửi máy khách Session Host server Đây tùy chọn an toàn Để thực bảo mật tốt nhất, bạn yêu cầu mã hóa SSL/TLS Để có điều đó, bạn cần có chứng số, chứng phát hành CA tự ký Ngồi việc lựu chọn lớp bảo mật, bạn chọn lớp mã hóa cho kết nối Các tùy chọn bạn lựa chọn là:  Low – Sử dụng mã hóa 56 bit cho liệu gửi từ máy khách đến máy chủ Không mã hóa liệu gửi từ máy chủ máy khách  Client Compatible – Đây tùy chọn mặc định Nó mã hóa liệu gửi theo hai chiều máy khách máy chủ với độ dài khóa lớn máy khách hỗ trợ  High – Tùy chọn mã hóa liệu gửi theo hai hướng máy khách máy chủ với mã hóa 128 bit  FIPS Compliant – Tùy chọn mã hóa liệu theo hai hướng máy khách máy chủ với mã hóa FIPS 140-1 Cần lưu ý bạn chọn mức High FIPS Compliant, máy khách không hỗ trợ mức kết nối Đây cách cấu hình thiết lập nhận thực máy chủ mã hóa:  Trên RD Session Host, mở Remote Desktop Session Host Configuration hộp thoại Properties kết nối mô tả  Trên tab General, chọn lớp bảo mật mức mã hóa thích hợp từ hộp sổ xuống, thể hình  Kích OK Hình Bạn sử dụng Group Policy để điều khiển thiết lập nhận thực mã hóa này, với khía cạnh khác RDS  ... cách thực bảo mật tốt cho triển khai RDS Điểm R2 Nếu đến với RDS từ Windows Server 2008 Terminal Services, bạn không thấy nhiều thay đổi rõ dệt nâng cấp lên từ Windows Server 2003 WS 2008 bổ sung... hóa 56 bit cho liệu gửi từ máy khách đến máy chủ Khơng mã hóa liệu gửi từ máy chủ máy khách  Client Compatible – Đây tùy chọn mặc định Nó mã hóa liệu gửi theo hai chiều máy khách máy chủ với độ... trị mạng – Trong bạn nghiên cứu số chế bảo mật có RDS với cách sử dụng Group Policy thiết lập cấu hình Remote Desktop Services (RDS) Windows Server 2008 R2 có nhiều tính so với dịch vụ Terminal