远程桌面安全全解(上) 从windows2000 server版本开始微软就将一个名为“远程桌面”的程序集成到操作系统中,通过这个“远程桌面”网络管理员可以在网络的另一端轻松的控制公司的服务器,在上面进行操作,删除程序,运行命令和在本地计算机一样。因此“远程桌面”功能极大的方便了网络管理员的工作,在推出以后受到了越来越多网管的青睐。 然而随着网络的普及,网络的安全性越来越受到企业的重视,很多网管发现使用windows的远程桌面功能操作服务器有一定的安全隐患,也就是说数据传输的安全级不够高,虽然传输信息进行了一定的加密,但黑客高手还是很容易将其还原成本来信息的。正因为远程桌面在安全性上的不足使得一些网络管理员开始寻求其他远程控制工具,例如remote admin,pc any where等。 微软公司非常看中远程控制软件的市场。为了提高远程桌面的安全级别,保证数据不被黑客窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。 提示:如果你使用的是windows2003,但是没有安装最新的SP1补丁的话还是不能够使用SSL加密的远程桌面认证方式。因此建议各个公司马上将服务器升级到windows2003+SP1。 一、危机四伏亲手破解连接信息: 究竟没有使用SSL加密传输信息的远程桌面认证方式有多危险,今天我们就跟随高级网络工程师一起来窥探个究竟。 实验环境: 单位服务器windows2000server版+SP4补丁包,网络状况是光纤10M出口。家中计算机为windows XP pro版+SP2补丁包,网络状况是北京网通ADSL 512KB。家中使用XP自带的没有包含SSL认证的远程桌面连接功能控制服务器。 破解过程: 第一步:在家中计算机中安装sniffer数据包分析工具,选择网卡为本地网卡。(如图1)
第二步:通过sniffer菜单中的“capture->start”来启动监测功能,当然直接点快捷按钮的开始小箭头也是一样的。 第三步:这时候启动XP的远程桌面连接程序,访问公司的服务器。 第四步:登录到服务器后输入正确的用户名和密码进入桌面,然后退出。 第五步:完成登录服务器的操作后回到本地计算机的sniffer程序,点菜单的“capture->stop and display”来停止监测并显示结果。(如图2)
二、铜墙铁壁使用证书加密认证: 首先要将服务器升级到最新版本windows2003,然后还需要通过windows update或网站将service packet 1补丁包安装。因为只有安装了SP1的Windows2003才具备通过SSL加密的远程桌面功能。以下所有操作都是对服务器而言的,只有服务器经过设置容许支持SSL加密认证,客户端才可以通过远程桌面访问程序正常连接。 1.安装证书服务: 第一步:默认情况下windows2003没有安装证书服务,我们通过控制面板的添加/删除windows组件来安装“证书服务”。(如图8)
2.设置证书服务参数: 默认情况下证书类型不是我们本次操作所需要的,所以还需要对其进行修改设置。 第一步:通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。(如图15)
IIS启动后我们就可以通过网页来申请证书了。 第一步:打开IE浏览器,在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45,则输入http://10.91.30.45/certsrv,如果IIS工作正常,证书服务安装正确的话会出现microsoft证书服务界面。(如图19)
第三步:在申请证书界面选择“高级证书申请”。(如图20)
提示:如果高级证书姓名填写的是其他信息,那么在配置SSL加密认证时会出现配置信息与服务器名不符合的错误。所以务必填写服务器的IP地址。 第六步:电子邮件和公司,部门,地区等信息随意填写。 第七步:需要的证书类型选择“服务器身份验证证书”。 第八步:密钥选项设置为“创建新密钥集”。 第九步:密钥用户设置为“交换”。 第十步:将最下方的“标记密钥为可导出”与“将证书保存在本地计算机存储”前打对勾。至此高级证书申请参数填写完毕。(如图22)
4.颁发证书: 下面为大家介绍如何颁发刚刚申请的证书。 第一步:通过任务栏的“开始->程序->管理工具->证书颁发机构”来打开证书设置窗口。 第二步:在本地计算机softer下的“挂起的申请”处会看到有一个申请,ID号为2,这个就是刚才的申请。 第三步:在该申请上点鼠标右键选择“所有任务->颁发”,颁发后我们申请的证书就可以使用了。(如图25)
证书已经通过服务器的审批,下面就要在服务器上安装我们申请的证书。只有拥有了证书才能让我们远程访问中传输的数据更加安全。 第一步:打开IE浏览器,在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45,则输入http://10.91.30.45/certsrv,如果IIS工作正常,证书服务安装正确的话会出现microsoft证书服务界面。 第二步:选择“查看挂起的证书申请状态”,在这里会看到我们原来提交的那个“服务器身份验证证书”的踪影。(如图26)
|
|