《信息化综合资料→控制VISTA远程桌面详细图解》由会员分享,可在线阅读,更多相关《信息化综合资料→控制VISTA远程桌面详细图解(18页珍藏版)》请在金锄头文库上搜索。
1、我能控制你我能控制你 VistaVista 远程桌面详细图解远程桌面详细图解Windows 远程桌面协议(RDP)一直以来在安全方面都没能获得最好的声誉。但 自从 FIPS(联邦信息处理标准)的安全等级被添加到 Windows Server 2003 SP1 中,Windows 远程桌面的安全性就得到了显著的提高。下面的步骤就是教你 无论在任何时候使用 Windows XP 或 Vista 的客户端连接到一台 Windows Vista 的计算机时,如何实施 FIPS 级别的安全性能的方法。 过去,Windows RDP 总是由于它的安全性而遭到一些非议。但自从 Windows Server
2、2003 SP1 以来,其安全性较之过去就有了显著的提高。而现在,这种 提高了的 RDP 技术也被添加到了 Windows Vista 中,它能够很好地走进每个家 庭用户。下面我们就一起来看看如果你使用一台 Windows XP 或 Vista 的计算机 做客户端,要如何安全地远程连接到一台 Windows Vista 的计算机上。软件要求RDP 服务器(主机)RDP 客户端计算机 Windows Server 2003 SP1 及其以上 Windows Vista 的任何版本 Windows Vista Business 版本 Windows XP 以及 RDP 6.0 客户端 Window
3、s Vista Ultimate 版本 Windows Server 2003 以及 RDP 6.0 安全配置 Vista 的 RDP 主机首先你需要做的事就是通过运行 gpedit.msc 来编辑组策略对象,如图 1 所 示。图 1打开了组策略对象编辑器之后,找到“计算机设置管理模板Windows 组 件终端服务终端服务器安全”,如图 2 所示。图 2 (点击看大图)接下来,设置“客户端连接加密级别”,如图 3 所示。图 3如图 4 所示,设置“要求安全的 RPC”通信。图 4如图 5 所示,设置“远程(RDP)连接要求使用指定的安全层”为 SSL (TLS 1.0)。图 5现在,你必须找到
4、组策略对象中的另一个部分,它处在“计算机配置 Windows 设置安全设置本地策略安全选项”,如图 6 所示。图 6 (点击看大图)启用 FIPS 模式,如图 7 所示。图 7在“系统属性”窗口中,启用远程桌面,如图 8 所示。要注意的是,你设 置它是允许任何 RDP 6.0 的客户端,而不是仅限于允许 Vista 的客户端。图 8在所有的这些都配置好之后,你必须更新组策略,这样才能在不重启计算 机的情况下实施新的设置。要做到这个你需要是用一个强制的 GPUpdate,如图 9 所示。图 9图 10 表示已经成功更新。图 10安全地配置 RDP 6.0 客户端现在,是时候使用 MSTSC 命令
5、打开 RDP 客户端的时候了,如图 11 所示。 Windows 2003 和 XP 用户必须下载安装 RDP 6.0 客户端,而 Vista 则已经具备 了正确的客户端。在 XP 上,你还需要在你运行 MSTSC 命令之前打开“运行”。图 11输入服务器的名字,要注意到这个初始过程应该是发生在 LAN 上的。例如, 我们要进入一台名叫“jim-PC”RDP 主机,如图 12 所示。这并不是一个完全合 格的名称,因此目前它只能在同一个子网的 LAN 上工作。在此,可以将一个重 新定向的条目输入到指向一个 IP 或动态 DNS 地址的主机文件中,这样你就能够 访问“jim-PC”或任何你的机器在
6、互联网上的名称。但现在,我们仅仅是先谈 一下快速局域网。图 12接下来,你必须展开“选项”,如图 13 所示。 图 13在如图 14 所示的“显示”选项卡中,设置你喜欢的显示选项。 图 14如图 15 所示,在“本地资源”选项卡中,你可以设定你想要的声音、打印 机或者是剪贴板的工作。 图 15在“程序”选项卡中,你可以设定任何你想要在连接时自动启动的程序。图 16现在,你可以在“经验”选项卡中设置你想要远程桌面看起来是什么样子。 你所添加的特性越多,所占用的带宽也越多。 图 17在“高级”选项卡中,你可以设置 RDP 客户端在身份验证失败时向你发出 警告以证明它的真实性。这样做可以在有黑客侵入
7、你的连接时,你不致将用户 证书拱手奉上。图 18点击“设置”,你就可以配置如图 19 所示的选项。在此,我们的设置是选 择“不使用 TS 网关服务器”。 图 19在你点击确定之后,请确保你返回到“常规”选项卡中,并点击“另存为” 来保存你的登录设置文件。否则,在下一次,你还必须将以上的过程重复一遍。 你可以将文件保存在桌面上以便更容易地访问到。现在,点击“连接”,你就会被提示输入用户名和密码。图 20第一次连接的时候,你会被警示说这个服务器目前还是不可信任的。要改 变这个情况,并使它能够受信,可以点击查看证书按钮。 正如你在图 21 中所看到的那样,Vista RDP 主机签发的证书的有效期是
8、六 个月。点击“安装证书”按钮,将其添加到 CTL 中。图 21这时,证书导入向导会被打开,点击“下一步”。图 22选择“将所有证书放入下列存储”,并点击“浏览”按钮,如图 23 所示。 图 23将“显示物理存储区”前的钩选框打钩,并选中“本地计算机”。图 24回到证书存储屏幕,如图 25 所示,点击“下一步”。 图 25要完成导入过程,只需要点击“完成”按钮,如图 26 所示。图 26接着你会看到导入成功的提示,点击“确定”即可。 图 27现在,你将能够安全地连接到 Vista 的 RDP 主机,但更重要的是,以后连 接到 jim-PC 都不会出现任何的警示标志甚至是密码提示。它只会以安全的
9、方式 进行连接,而任何警示标志都一定会引起你以鉴定的眼光去查看。当你尝试通过 IP 地址或公共互联网上的动态 DNS 条目连接到这个主机上时 会发生什么呢?如果你尝试连接的主机名不是你之前所生成的证书的名称,这 时你就会看到一个警示,但你可以设定它总是连接,只需要设定它在下一次连 接到这台计算机时不再提示即可。但仅仅这么做还是不够的,接着你就会看到又出现的警示中会告诉你名称 不匹配,证书上的服务器名也是有错误的。但这并不是件糟糕的事,你可以查 看这个证书,它会告诉你是为“jim-PC”而设的,且是可以信任的。你看到这 个警示仅仅是因为 RDP 客户端会将你所连接的计算机与证书上的计算机的名字
10、进行比照。如果我选用 ip 地址来进行连接,那么它就会提示我与 jim-PC 是不 匹配的。由于我是通过 IP 地址或是互联网上公共解析的 DNS 名来进行连接,而 证书目前还是有效的,因此我知道我并没有受到欺骗。此时我可以放心地选择 “确定”使它在任何时候都能够进行连接。为了避免将来再出现这样的错误, 我需要编辑我的本地主机文件,将 IP 或 DNS 名称描绘为“jim-PC”。但是,如果有黑客传递给你伪造的证书那应该怎么办呢?如果是这样的话, 你不仅会被尽是名称不匹配,证书也会被告知不是来自可信任的地方。这样的 话,你就应该检查你的证书安装过程,警惕有些攻击者可能在试图欺骗你。此 时你应该
11、选择不去连接到服务器。如果你仍然选择总是连接,你就像黑客暴露 了你的证书,他们很快就会对你进行词典式攻击而窃取你的密码。这一切看起来似乎是个有些复杂的过程,只是为了在进行一次 RDP 连接时 不出现任何警示,但这是一个有效的方法能够进行安全并且可信任的远程连接。 幸运的是,你只需要做这些事情一次,之后的连接就能保证安全且没 任何麻烦。无论你是否相信,你实际上是将你自己的 PKI 证书创建到了 RDP 主 机上,并在客户端计算机上安装了一个证书权限。这种安全方法使用的是公共 密钥授权机制,它是被用于电子商务交易中的技术。在企业级的系统上,整个 过程的 GPO 设置以及数字证书实际上都能够通过使用活动目录组策略自动用于 服务器和客户端,而现在你就明白它的一切是如何工作的
