远程桌面安全全解（下）

garnett_wu

一、服务器远程桌面设置：
默认情况下远程桌面功能是不支持SSL加密认证的，即使我们申请并安装了证书。
第一步：通过任务栏的“开始->程序->管理工具->终端服务配置”来启动tscc终端服务配置窗口。（如图1）

图1 点击看大图

第二步：在tscc终端服务配置窗口中我们点“终端服衽渲?>连接”，在右边窗口中会显示出终端服务，我们在其上点鼠标右键选择“属性”。（如图2）

图2 点击看大图

第三步：在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到我们在上期文章中安装的证书（证书名为10.91.30.45）。（如图3）

图3 点击看大图

第四步：选择完证书后还需要对常规标签中的安全级别进行设置，我们将安全层设置为“SSL”，将加密级别设置为“高”。确定后完成全部服务器远程桌面设置工作。（如图4）

图4

二、客户端安装认证证书：
既然服务器上使用了证书进行SSL加密认证，那么还需要在客户机上安装这些认证。如果不安装的话远程桌面访问将无法进行。有两种方法获得证书，我们将一一介绍。
1 从TS服务器上导出证书：

第一步：通过任务栏的“开始->运行”，输入mmc来启动MMC管理单元。（如图5）

图5

第二步：打开MMC管理单元后我们需要加载证书服务，方法是通过控制台菜单中的“文件->添加/删除管理单元”。（如图6）

图6 点击看大图

第三步：从“可用的独立管理单元”中找到证书管理单元，然后点“添加”按钮加载该管理单元。（如图7）

图7 点击看大图

第四步：在证书管理单元中选择“计算机帐户”后点“下一步”。（如图8）

图8 点击看大图

第五步：在选择计算机窗口中找到“本地计算机”后完成操作。（如图9）

图9 点击看大图

第六步：回到控制台界面后我们选择“控制台根节点->证书（本地计算机）->个人->证书”，在右边窗口中会看到服务器当前安装的所有证书。我们找到用于SSL加密连接的证书。（如图10）

图10 点击看大图

第七步：在该证书上点鼠标右键后选择“打开”，在证书信息界面中选择“详细信息”，然后点下方的“复制到文件”按钮，将证书进行复制。（如图11）

图11

第八步：打开证书导出向导后直接点“下一步”。（如图12）

图12

第九步：导出私钥处选择“不，不要导出私钥”。（如图13）

图13

第十步：导出文件格式处选择“DER 编码二进制X.509（.CER）”。（如图14）

图14

第十一步：选择导出文件的保存路径，一般直接选桌面即可。（如图15）

图15

第十二步：完成证书导出向导配置工作，证书文件成功保存。（如图16）

图16

第十三步：文件保存到桌面后我们就可以把这个证书文件复制到其他计算机上了，所有准备通过远程桌面连接服务器的客户机都需要安装该证书。
第十四步：直接双击该证书文件就可以安装了，在“常规”标签中有一个“安装证书”按钮。（如图17）

图17

第十五步：点“安装证书”按钮后进入证书导入向导，我们选择“根据证书类型，自动选择证书存储”后点“下一步”。（如图18）

图18

第十六步：完成证书的全部导入工作。（如图19）

图19

2.通过证书页面安装证书：
我们还有另外一种方法在客户机上安装证书。
第一步：在客户机上打开浏览器，在地址栏处输入http://ip/certsrv/。例如服务器地址为10.91.30.45，则输入http://10.91.30.45/certsrv。浏览器将打开证书申请页面。（如图20）

图20 点击看大图

第二步：选择下载CA证书后直接点“安装此CA证书链”。（如图21）

图21 点击看大图

第三步：系统将自动安装该CA证书，并给出安装完毕的提示。（如图22）

图22 点击看大图

安装了证书的客户机就可以通过远程桌面连接的SSL加密功能访问远程的服务器了。
三、客户端程序要齐备：
如果急于使用SSL加密模式控制远程服务器的用户会发现一个问题，那就是XP和2000中的远程桌面工具没有地方设置安全模式。这是因为SSL加密模式是2003SP1中添加的新功能，所以如果要使用该功能就需要安装全新的远程桌面连接工具。
1.WIN2003系统：
在2003系统中的远程桌面连接程序自带有安全标签，通过这个标签我们可以直接设置SSL加密模式访问远程服务器。
2.其他系统：
其他系统需要安装新版远程桌面连接程序，该程序存在于WINDOWS2003系统光盘中，存放路径为i:\support\tools下，程序名称为msrdpcli.exe。（如图23）直接运行该程序即可。（如图24）

图23 点击看大图

图24

3.使用新版程序：
安装了新版远程桌面程序后我们就要配置他使用SSL访问远程服务器了。
第一步：启动新版远程桌面连接程序。

第二步：你会发现多出了一个“安全”标签。（如图25）

图25

第三步：在“安全”标签中将身份验证方式修改为“要求身份验证”。（如图26）

图26

第四步：设置完毕后点“连接”按钮就可以访问远程配置好SSL加密模式的服务器了。
小提示：安全标签中的三个选项依次为“无身份验证”（使用常规模式访问远程服务器），“试图身份验证”（先使用SSL加密身份验证访问服务器，如果不成功则使用传统模式），“要求身份验证”（使用SSL加密模式访问服务器，如果失败则退出）。

四、常见故障：

由于配置了SSL加密的远程桌面访问与传统的不同，所以在实际使用过程中会出现这样或那样的问题，笔者总结了其中最典型的几个介绍给各位读者。
1.客户端无法建立跟远程计算机的连接：
使用老版本远程桌面连接程序访问配置加密SSL模式的服务器的话就会出现这个“无法建立跟远程计算机的连接”的提示。解决方法是升级到新版桌面连接程序。（如图27）

图27

2.远程计算机要求经过身份验证才能连接：
如果安装了新版桌面连接程序但没有设置“安全”标签参数的话就会出现“远程计算机要求经过身份验证才能连接”的提示，我们通过“安全”标签设置身份验证方式为“要求身份验证”或“试图身份验证”即可。（如图28）

图28

3.验证远程计算机证书遇到错误：
如果在服务器上配置了SSL加密模式但是在客户机上安装的证书不正确，或者在申请证书名称时没有按照IP地址信息书写而是填写了其他名称的话则会出现“验证远程计算机证书遇到错误——证书上的服务器名错误”的提示。解决方法是重新申请证书并在客户端上安装该证书，申请时证书名称填写服务器的IP地址。（如图29）

图29

总结：当客户机使用SSL加密模式连接服务器并控制服务器后，在网络中传输的所有信息都是加密过的，黑客使用sniffer等工具无法抓取到可用的数据包。从而真真正正的将远程桌面的安全进行到底。远程操作界面也出现了SSL加密的图标。（如图30）

图30

wwwang

先收藏到晚上慢慢看!谢了!

hpnix

谢谢楼主了 哦~~~

hearo

看帖不回是不道德的行为！
楼主，我回帖了哦！

maikxie

高手如云呐！此站真是藏龙卧虎之地，版主应该更不寻常了！

bion

好帖子

lorio

好帖啊！谢谢楼主分享！辛苦了！！！

xiasixia

正好我要把两个服务器开远程桌面共享，就看到这个帖子
不过，我们局域网好象没必要这么安全吧

chinalyg

感谢楼主提供好东东，支持

Kerberos

为什么我按照楼主的步骤一步步地操作，在"第三步：在常规标签中的证书设置处旁边有一个“编辑”按钮，点击该按钮打开证书设置窗口。然后通过查看证书找到我们在上期文章中安装的证书（证书名为10.91.30.45）。（如图3） "这一步里面却没有看到已安装的证书呢，而且那里的“查看证书”按钮也是灰色不可用的，是怎么回事呀？

[ 本帖最后由 Kerberos 于 2007-5-6 02:03 编辑 ]

wamm127

谢谢了！！困扰我很长时间的远程安全连接就被楼主给解决了！！谢谢楼主！！

zhxd

测试安装成功。
但现在的问题是，我在客户端用终端登陆工具登陆远程服务器时，“安全”标签那里的“身份验证”选择“无身份验证”或“试图身份验证”(“试图身份验证登陆窗口那里没有加密的小锁图标”)均可以正常登陆，而选择“要求身份验证”却无法进行登陆，是怎么回事呢？
截图如附件图：

[ 本帖最后由 zhxd 于 2007-8-23 23:03 编辑 ]

zhxd

凭着俺不服输的劲，终于全部搞定了，准备洗澡睡觉。

media008

真不错啊。。。这样做安全很多啊

天生一对

不错,顶一下哦.........

陈倩倩

呵呵，写得还挺详细的。

陈倩倩

楼主辛苦咯。

时间清风

看完楼主的介绍,长见识了  有个叫CTBS的软件不知道是不是也和这个原理一样.