保障远程桌面Web连接安全四项注意
作者:coffie 来源:IT专家网 发布时间:2009-01-21 16:55:00
远程网络连接在企业的信息化应用中是一门比较实用的技术。他可以通过各种方式实现,如VPN、远程控制工具等等。不过,远程桌面Web连接也是其中的一个佼佼者。如不少企业,会在企业的门户网站上留一个通向企业内网的接口。这可以让不在公司的员工可以实时的了解企业的信息,也可以让他们在有需要的时候访问相关的内部系统。
简单的说,远程桌面Web连接就是通过与企业的Web服务器连接,从而实现与某台特定计算机的终端服务器之间的通信。最重要的是,在客户端上不需要安装任何的插件。这就使得远程桌面Web连接受到很多网络管理员的青睐。
但是,由于在客户端上不需要任何的设置,这就导致远程连接的安全重任都落在了企业Web服务器的肩膀上。故一些“远程桌面Web连接”的相关软件都提供了很高级别的安全设置。下面笔者就以Windows2003自带的IIS插件为例,谈谈该如何做好远程桌面的Web连接安全设置。
一、是否允许匿名访问
在考虑远程桌面Web连接安全的时候,第一个要考虑的问题就是“是否允许匿名访问”。如果允许用户“匿名访问”,则选择“启用匿名访问”复选框。默认情况下,系统在安装的时候,已经为匿名用户创建了一个公用帐户。当然用户也可以自己设置用户所需要采用的帐户以及相关的权限。匿名用户在访问的时候,也可以不使用用户名与密码登陆,而直接删除系统提供的默认用户帐户与密码即可以访问。
如果不允许匿名帐户登陆,则可以不管这个复选框。不过需要在“用户访问需要经过身份验证”选择具体的身份验证方式。
一般情况下,如果该Web服务器是为公众使用的,则就要启用“匿名访问”。但是,若在这个公用的Web服务器上,还提供企业内部员工访问企业内网的一个通道的时候,就要把这个单独的网页,设置为“用户访问需要经过身份验证”。并且根据企业安全要求的不同,选择合适的身份验证方式。
二、根据安全级别选择合适的身份验证方式
在微软2003服务器系统自带的IIS插件中,主要提供了三种身份验证方式。不同的验证方式对应着不同的安全级别与不同的兼容性。
第一种是“Windows域服务器的摘要式身份验证”。这种认证方式必须要有活动目录的支持,也就是说,他是采取域用户身份验证方式。他主要在网络上发送哈希值,采用密文传输,而不是明文传输。故其安全性是非常高的。另外,这种身份认证方式往往还不受防火墙配置的影响。因为摘要式身份验证方是越过了代理服务器和其他防火墙,与代理服务器和其他防火墙一起工作;并且在Web分布式创作以及版本控制目录中可用。若企业实现了域环境,则这是首选的身份验证方式。
第二种是“基本身份验证”方式。这跟第一种身份验证方式最大的差异就是,前者在网络中传输的是哈希值。而后者则是以明文的方式在网络中传输密码。这种身份验证方式有优点也有缺点。优点是它完全遵循了HTTP规范,故他被大多数的浏览器所支持。不仅微软的IE浏览器支持他;在Linux操作平台上的Mazida浏览器也可以很好的兼容。缺点就是因为其帐户与密码都是明文传输,所以,其安全性方面就得不到保证。
第三种是“NET Passport身份验证”选项。这种身份验证方式,也是不基于操作系统的,跟现在市场上的大部分浏览器都能够很好的兼容。现在很多门户网站提供了“一站式的访问”,即凭借一个网络通行证,可以同时访问博客、邮件、网络商店等等,就是采用了这种技术。NET Passport允许站点的管理员创建独立的用户名与密码,保证对所有启用的NET Passport网站和服务的访问安全。这个身份验证方式,是通过中央服务器来对用户进行身份验证,而不是主控和维护其自己的专用身份验证系统。如此的话,他才可以脱离具体的应用,为访问者提供“一站式帐户”。
在这三种身份认证方式中,笔者倾向与第三种。
一方面,“NET Passport身份验证”选项不受操作系统与浏览器版本的约束。像“Windows域服务器的摘要式身份验证”,必须与活动目录帐户一起运作。这个限制就比较大。不仅需要有一个域环境,而且还需要微软的IE浏览器。一般用户很难同时满足这两个需求。所以,虽然其安全性比较高,但是,仍然不能够得到大范围的应用。
其次,“基本身份验证”方式虽然兼容性比较好,但是,由于其用户名与口令是通过明文传输的,安全上就大打折扣了。所以,也不是上上之选。
而“NET Passport身份验证”不仅兼容性好,而且还提供了“一站式”的访问模式。企业可以把相关的服务,如电子商务、OA系统等等都集成在Web服务器上。然后员工访问不同的应用服务时,不需要频繁的更换帐户。这种处理方式,更加的人性化。
猜你喜欢
- 什么是虚拟软件虚拟软件是一个可以使你在一台机器上同时运行二个或更多Windows、Linux等系统,它可以模拟一个标准PC环境。这个环境和真
- centos7修改ssh默认登录端口和centos6差不多,就是防火墙不一样,然后关闭selinux最好。【修改ssh默认22端口】vi /
- Linux下配置VSftp服务器步骤一、检查是否安装了vsftpd, rpm -qa |grep vsftpLinux下配置VSftp服务器
- 近日,澳洲电讯宣布了收购皓辰传媒及泡泡网两家公司55%股份的消息,皓辰传媒旗下拥有IT168和Che168两家网站,而泡泡网旗下则拥有 *
- 做国外网络赚钱,很多新手都会面临一个如何拿到钱的问题,今天我就对此做个基础知识介绍教程。一般国外联盟主流采用支票,paypal,电汇,西联等
- 有时候为了服务器的安全,我们需要经常登录远程的朋友,可以考虑将administrator改名字,这样一般不知道我们的用户名的人也会增加密码破
- SHELL是UNIX系统的用户与操作系统之间的一种接口。它既是UNIX系统的命令解释程序,又是一种高级的命令程序设计语言。作为命令解释程序,
- 需求:在一个局域网中通过 Vmware 使用NAT模式创建了一个虚拟机(Linux服务器),实现局域网中所有的主机都能够访问应用场景:一个开
- 美联社CEO汤姆·库利(Tom Curley)北京时间11月13日晚间消息,据国外媒体报道,美联社CEO汤姆&
- JMeterJMeter是Apache组织的开放源代码项目,它是功能和性能测试的工具,100%的用java实现。GrinderGrinder
- 11月18日消息,盛大游戏(NASDAQ: GAME)今天宣布,其18基金旗下新生代网络游戏开发商悠游数码所开发的3D大型多人在线网络游戏《
- 什么是 vim?Vim是从 vi 发展出来的一个文本编辑器。代码补完、编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用。简单的来
- 2010年的春节一开始,《魔兽世界》的网友们就迎来了好消息:新闻出版总署在2月12日审批通过了网易《魔兽世界:燃烧的远征》。至此,《魔兽世
- 了解缓存中毒攻击近来,网络上出现史上最强大的互联网漏洞——DNS缓存漏洞,此漏洞直指我们应用中互联网脆弱的安全系统,而安全性差的根源在于设计
- 两三年前正当博客风行的时候,自己曾经也在各大门户开过博客,也曾经有过不错的访问量。当然当时不是写的网站推广文章了,那时候只是抱着玩的心态开博
- FTP(文件传输协议)诞生之后,便迅速地得到了推广和应用,而依据此协议提供服务的ftp服务器在运行时,用户可以通过Internet连接到服务
- Godaddy支持支付宝付款,对国内网友来说,是一大喜讯。可能有部分网友对E文不是太熟悉,这里小A做个教程,希望对大家有所帮助。Godadd
- “创业”这是我们讲得最多的一个话题,网络创业的故事也被我们津津乐道;只要留心观察下,就不难发现这样一个有趣的现象——很多网络创业的朋友会选择
- 使用Godaddy的空间也有一段时间了,感觉Godaddy不错,根据自己的使用的体会,写了篇对Godaddy的感受,与各位建站的站长朋友分享
- CentOS简介CentOS 是一个基于Red Hat Linux 提供的可自由使用源代码的企业级Linux发行版本。每个版本的 CentO