Bảo mật dịch vụ máy trạm từ xa trong Windows Server
2008 R2
Trong bài này chúng tôi sẽ cùng các bạn nghiên cứu
một số cơ chế bảo mật có trong RDS cùng với đó là cách
sử dụng Group Policy và các thiết lập cấu hình.
Remote Desktop Services (RDS) trong Windows Server
2008 R2 có nhiều tính năng mới so với dịch vụ Terminal
Services cũ trước đây. Với các tính năng mới (một trong số
chúng đã có ngay trong Windows Server 2008) chẳng hạn
như RemoteApp, RD Gateway RD Virtualization Host,
Windows Server role này hiện cho phép bạn có thể linh
động trong việc triển khai các ứng dụng riêng lẻ hoặc các
máy trạm hoàn chỉnh qua giải pháp RDS hoặc VDI – trong
nhiều trường hợp mà không cho các hệ thống Citrix hoặc
các add-on của các hãng thứ ba khác.
Tuy nhiên về mặt bảo mật, những phức tạp bổ sung này
biến thành những thức thức bảo mật mới. Chính vì vậy
trong bài này, chúng tôi sẽ giới thiệu cho các bạn các cơ
chế bảo mật bên trong RDS, sẽ giới thiệu cách sử dụng các
thiết lập cấu hình và Group Policy để bảo mật tốtn, bên
cạnh đó là cách thực hiện bảo mật tốt nhất cho một trin
khai RDS.
Điểm mới trong R2
Nếu đến với RDS từ Windows Server 2008 Terminal
Services, bạn sẽ không thấy nhiều thay đổi rõ dệt như khi
nâng cấp lên từ Windows Server 2003. WS 2008 đã b
sung thêm nhiều cải thiện lớn đối với Terminal Services,
gồm có TS Web Access cho việc kết nối trình duyệt web,
TS Gateway cho người dùng kết nối qua Internet,
RemoteApp cho việc phân phối các ứng dụng đơn lẻ đến
người dùng qua Remote Desktop Protocol (RDP) và
Session Broker có trong tính năng cân bằng tải.
WS 2008 R2 đã bổ sung thêm nhiều điểm thú vị:
Remote Desktop Virtualization cho giải pháp VDI
RDS Provider cho PowerShell để các quản trị viên có
thể thay đổi cấu hình và thực hiện các nhiệm vụ tại cửa sổ
dòng lệnh và thông qua kịch bản.
Remote Desktop IP Virtualization, cho phép gán các
địa chỉ IP cho các kết nối trên cơ sở session hoặc chương
trình.
Một phiên bn RDP mới và máy khách Remote
Desktop Connection (RDC), v. 7.0
Fair Share CPU scheduling cho phép phân phối động
thi gian xử lý giữa các session dựa trên số session tích
cực.
Windows Installer compatibility cho phép dễ dàng cài
đặt các chương trình yêu cầu cấu hình trên người dùng.
True multiple monitor hỗ trợ lên đến 16 màn hình, nh
đó các chương trình hoạt động giống như chúng làm việc
khi khi chạy trên máy khách.
Ngoài ra còn có nhiều cải thiện về audio/video cũng như sự
hỗ trợ cho Windows Aero trong RD session (mặc dù vậy
cần lưu ý rằng Desktop Composition, cho phép Aero,
không được hỗ trợ trong một session đa màn hình).
Các cơ chế và sự ảnh hưởng bảo mật
Rõ ràng, các vấn đề bảo mật tiềm tàng phthuộc vào cách
bạn triển khai RDS. Nếu bạn có một thiết lập phức tạp hơn,
với những người dùng kết nối qua Internet hay thông qua
một trình duyt web, bạn sẽ có nhiều vấn đề bảo mật hơn
so với trường hợp chỉ có một triển khai đơn giản, nơi người
dùng ch có kết nối thông qua máy khách RDC qua LAN.
RDC gồm có một số cơ chế bảo mật có thể trợ giúp bạn tạo
các kết nối RD an toàn hơn.
Nhận thc mức mạng (NLA)
Để bảo mật tốt nhất, bạn nên yêu cầu Network Level
Authentication (NLA) cho tất cả kết nối. NLA yêu cầu
người dùng cần được nhận thực đối với RD Session Host
server trước khi tạo session. Điều này giúp bảo vệ máy tính
từ xa tránh được người dùng nguy him và độc. Để sử
dụng NLA, máy khách phải sử dụng một hệ điều hành h
trợ các giao thức Credential Security Support Provider
(CredSSP), có nghĩa Windows XP SP3 hoặc phiên bản hệ
điều hành cao hơn, và đang chạy máy khách RDC 6.0 hoặc
cao hơn.
NLA được cấu hình trên RD Session Host server thông qua
Administrative Tools | Remote Desktop Services | Desktop
Session Host Configuration. Để cấu hình một kết nối để sử
dụng NLA, bạn thực hiện theo các bước sau:
1. Kích phải vào Connection
2. Chọn Properties
3. Kích tab General
4. Tích vào hp chọn “Allow connections only from
computers running Remote Desktop with Network Level
Authentication” như thể hiện trong hình 1.
5. Kích OK.
Hình 1