Quản trị mạng — Trong bài này chúng tôi sẽ cùng các bạn nghiên cứu một sô cơ chê bảo mật có trong RDS cùng với đó là cách sử dụng Group Poliey và các thiết lập câu hình.. Với các tính nă
Trang 1
Bao mat dich vu may
tram tu xa trong
Windows Server 2008 R2
Trang 2
Quản trị mạng — Trong bài này chúng tôi sẽ cùng các bạn nghiên cứu một sô cơ chê bảo mật có trong RDS cùng với đó
là cách sử dụng Group Poliey và các thiết lập câu hình
Remote Desktop Services (RDS) trong Windows Server
2008 R2 có nhiều tính năng mới so với dịch vụ Terminal
Services cũ trước đây Với các tính năng mới (một trong số
chúng đã có ngay trong Windows Server 2008) chang hạn như RemoteApp, RD Gateway va RD Virtualization Host, Windows Server role này hiện cho phép bạn có thê linh động trong việc triển khai các ứng dụng riêng lẻ hoặc các máy trạm hoàn chỉnh qua giải pháp RDS hoặc VDI - trong nhiều trường hợp mà
không cho các hệ thông Citrix hoặc các add-on của các hãng thứ
ba khác
Tuy nhiên về mặt bảo mật, những phức tạp bố sung này biến thành những thức thức bảo mật mới Chính vì vậy trong bài này,
chúng tôi sẽ giới thiệu cho các bạn các cơ chê bảo mật bên trong
Trang 3RDS, sẽ giới thiệu cách sử dụng các thiết lập câu hình và Group
Policy dé bảo mật tốt hơn, bên cạnh đó là cách thực hiện bảo mật tốt nhất cho một triển khai RDS
Điểm mới trong R2
Nếu đến với RDS từ Windows Server 2008 Terminal Services,
bạn sẽ không thây nhiều thay đổi rõ dệt như khi nâng cấp lên từ Windows Server 2003 WS 2008 da b6 sung thêm nhiều cải thién lon déi voi Terminal Services, gsm có TS Web Access cho việc kết nôi trình duyệt web, TS Gateway cho người dùng kết nối qua Internet, RemoteApp cho việc phân phối các ứng dụng đơn lẻ đến người dùng qua Remote Desktop Protocol
(RDP) và Session Broker có trong tính năng cân băng tải
WS 2008 R2 đã bổ sung thêm nhiều điểm thú vị:
° Remote Desktop Virtualization cho giai phap VDI
° RDS Provider cho PowerShell dé cac quan tri vién c6 thé
thay đôi câu hình và thực hiện các nhiệm vụ tại cửa sô dòng lệnh
Trang 4và thông qua kịch bản
° Remote Desktop IP Virtualization, cho phép gan cac dia chỉ IP cho các kêt nôi trên cơ sở session hoặc chương trình
Connection (RDC), v 7.0
° Fair Share CPU scheduling cho phép phan phối động thời gian xử lý giữa các session dựa trên sô session tích cực
° Windows Installer compatibility cho phép dễ dàng cài đặt các chương trình yêu câu câu hình trên người dùng
các chương trình hoạt động giống như chúng làm việc khi khi
chạy trên máy khách
Ngoài ra còn có nhiều cải thiện về audio/video cũng như sự hỗ
tro cho Windows Aero trong RD session (mac dit vay can lưu ý rang Desktop Composition, cho phép Aero, khéng dugc hé tro trong mot session da man hinh)
Trang 5Các cơ chê và sự ảnh hưởng bảo mat
Rõ ràng, các van dé bảo mật tiềm tàng phụ thuộc vào cách bạn triển khai RDS Nếu bạn có một thiết lập phức tạp hơn, với
những người dùng kết nối qua Internet hay thông qua một trình
duyệt web, bạn sẽ có nhiều vẫn đề bảo mật hơn so với trường
hợp chỉ có một triển khai đơn giản, nơi người dùng chỉ có kết nối thông qua máy khách RDC qua LAN
RDC gôm có một sô cơ chê bảo mật có thê trợ giúp bạn tạo các
kết nối RD an toàn hơn
Nhận thực mức mạng (NLA)
Đề bảo mật tốt nhất, bạn nên yêu câu Network Level
Authentication (NLA) cho tất cả kết nỗi NLA yêu câu người
dùng cần được nhận thực đối với RD Session Host server trước
khi tạo session Điều này giúp bảo vệ máy tính từ xa tránh được người dùng nguy hiểm và mã độc Để sử dụng NLA, máy khách
phải sử dụng một hệ điều hành hỗ trợ các giao thirc Credential
Trang 6Security Support Provider (CredSSP), c6 nghia Windows XP SP3 hoặc phiên bản hệ điều hành cao hơn, và đang chạy máy
khách RDC 6.0 hoặc cao hơn
NLA được cấu hình trên RD Session Host server thông qua
Administrative Tools | Remote Desktop Services | Desktop
Session Host Configuration Đề cấu hình một kết nối dé str dụng NLA, bạn thực hiện theo các bước sau:
Kich phai vao Connection
Chon Properties
Kich tab General
Tich vao hép chon “Allow connections only from
computers running Remote Desktop with Network Level
Authentication” nhu thé hién trong hinh 1
° Kich OK.
Trang 7
General Logon Settings | Sessions | Environment
Type: RDP-Tcp
Transport: tcp
Comment: |
Security
Security layer: | Negotiat iate xi
The most secure layer that is supported by the client will be used If
supported, SSL (TLS 1.0) will be used
Encryption level: | Client Compatible xẻ
All data sent between the client and the server is protected by encryption
based on the maximum key strength supported by the client
[#] Allow connections only from computers running Remote Desktop with
Network Level Authentication
Hinh 1
Transport Layer Security (TLS)
Một RDS session có thể sử dụng một trong ba lớp bảo mật để bảo vệ sự truyền thông giữa máy khách và RDS Session Host
Server:
Trang 8° RDP security layer — Lớp này sử dụng mã hóa RDP
nguyên bản và là lớp kém an toàn nhất RD Session Host server
không được nhận thực
máy khách hỗ trợ nó Nêu không session sẽ quay trở lại bảo mật RDP
chủ và mã hóa đữ liệu được gửi giữa máy khách và Session Host server Đây là tùy chọn an toàn nhất
Đề thực hiện bảo mật tốt nhất, bạn có thể yêu câu mã hóa
SSL/TLS Để có được điều đó, bạn cần có một chứng chỉ SỐ, đây là chứng chỉ có thê được phát hành bởi một CA nào đó hoặc
tự ký
Ngoài việc lựu chọn lớp bảo mật, bạn có thé chon lớp mã hóa cho kết nỗi Các tùy chọn bạn có thé lua chọn ở đây là:
° Low — Sử dụng mã hóa 56 bịt cho dữ liệu được gửi từ máy
Trang 9khách đến máy chủ Không mã hóa dữ liệu được gửi từ máy chủ
về máy khách
hóa dữ liệu được gửi theo cả hai chiêu giữa máy khách và máy
chủ với độ dài khóa lớn nhất máy khách có thể hỗ trợ
° Hiph — Tùy chọn này sẽ mã hóa dữ liệu được gửi theo cả hai hướng giữa máy khách và máy chủ với mã hóa 128 bịt
° FIPS Compliant — Tùy chọn này mã hóa dữ liệu theo cả hai hướng giữa máy khách và máy chủ với mã hóa được FIPS 140-1
Cần lưu ý răng nêu bạn chọn mức High hoặc FIPS Compliant,
các máy khách nào không hỗ trợ các mức này sẽ không thê kết nối
Đây là cách câu hình các thiết lập nhận thực máy chủ và mã hóa:
Configuration va hdp thoai Properties cua kết nỗi như được
Trang 10mô tả ở trên
° Trên tab General, chọn lớp bảo mật và mức mã hóa thích hợp từ các hộp số xuống, như thê hiện trong hình 2
° Kich OK
Remote Control | Cent Settings | Network Adapter | Security
Type: RDP-Tcp
Transport: tcp
Commert:
Security
SSL (TLS 1.0) will be used for server authentication and for encrypting all
data transferred between the server and the client
Al data sent between the client and th oo”
bed he macram key ech PS Compliant
Fr Allow connections only from computers running Remote Desktop with
Network Level Authentication
Hinh 2
Trang 11Bạn cũng có thể sử dụng Group Policy dé diéu khién cac thiết
lập nhận thực và mã hóa này, cùng với các khía cạnh khác của RDS
