RD網關提高終端服務安全性

引言：將終端服務主機直接連接到Internet上是比較危險的。而使用RD網關，不僅可以對連接者進行安全驗證，而且可以通過SSL協議對其進行加密傳輸。即使內網中存在多臺終端服務器，也可以讓連接者順利對其進行訪問。

通常，只要黑客探測到了遠程桌面/終端服務器主機的IP，洞悉了賬戶名稱及密碼，就可以毫不費力的對其進行遠程控制。因此，將終端服務主機直接連接到Internet上是比較危險的。另外，如果局域網中存在多臺終端服務器，往往需要在防火墻上使用不同的端口將其發布到Internet上，給用戶的連接帶來了不便。

在Windows Server 2008中，雖然可以使用TS網關，來對連接的身份進行驗證，來保護內網的終端服務器的安全。同Windows Server 2008 R2中的RD網關相比，其安全性較差。使用RD網關，不僅可以對連接者進行安全驗證，而且可以通過SSL協議對其進行加密傳輸。即使內網中存在多臺終端服務器，也可以讓連接者順利對其進行訪問。

安裝RD網關服務器

為保證客戶端使用遠程桌面連接安全傳輸數據，必須在RD網關服務器上安裝SSL安全證書。為便于使用，應先創建允許訪問終端服務的賬戶和組。

在Windows Server 2008 R2中打開服務器管理器窗口，運行“添加角色向導”程序，在“選擇服務器角色”窗口中選擇“遠程桌面服務”，在“下一步”窗口中點擊“遠程桌面服務簡介信息”。點擊“下一步”，選擇“遠程桌面網關”項，在彈出的窗口中點擊“添加所需的角色服務”按鈕。在“下一步”窗口中選擇“為SSL加密選擇現有證書（推薦）”項，點擊“導入”按鈕導入已安裝的服務器身份驗證證書。在客戶端和遠程桌面通訊時可使用SSL協議加密通訊數據。

點擊“下一步”按鈕，選擇“現在”項，在“下一步”窗口中配置可以通過Rd網關的用戶組，默認包含Administrato rs組。點擊“添加”按鈕，將允許連接遠程桌面的用戶組添加進來。在“下一步”窗口中可以更改RD CAP名稱，選擇“密碼”項，作為身份驗證方式。點擊“下一步”按鈕，在“選擇角色服務”窗口中勾選“網絡策略服務器”項，之后系統會顯示需要安裝IIS中的相關服務，在“下一步”窗口中顯示所需安裝的相關服務項，點擊“安裝”，執行安裝動作，在之后的安裝結果窗口中顯示所有的角色和服務安裝成功。

獲取數字證書

數字證書的獲得可以用多種方法實現。例如，可以使用自簽名證書功能。依次點擊“開始”、“所有程序”、“管理工具”、“遠程桌面服務”、“遠程桌面網關服務器”項，在打開窗口左側選擇本地服務器，在右側窗口中“操作”欄中點擊“屬性”項，在RD網關屬性窗口中的“SSL證書”面板中選擇“創建自簽名證書”項，點擊“創建并導入證書”按鈕輸入名稱。

勾選“存儲根證書”項，點擊“瀏覽”按鈕，選擇證書文件存儲位置。點擊“確定”按鈕，完成證書文件的創建操作。之后根據提示信息重啟RD網關服務器。重啟之后，在IE地址欄中輸入網關域名來查看該值證書是否已生效。在服務器管理器窗口左側依次選擇“遠程桌面服務”、“RD會話主機配置”項，在右側窗口中的“RDPTCP”項的右鍵菜單中選擇“屬性”項，在其屬性窗口的“常規”面板中的“證書”欄中點擊“選擇”按鈕，在證書列表中選擇上述證書項目，點擊“確定”完成操作，之后即可在遠程桌面環境中對RD網關服務器和客戶機之間的通訊進行加密，并且在遠程桌面RDP-TCP連接之間也啟用加密功能。

在Windows Server 2008 中可以創建證書服務器，可以滿足證書的發布、申請、安裝、創建等操作。Windows Server 2008支持應用于企業內部的證書服務器和用于Internet的獨立證書服務器，前者應用于域環境，需要活動目錄的支持，用戶可以直接向證書服務器申請并安裝證書。后者應用于非域環境，可以安裝到任何一臺獨立的服務器上，當用戶向證書服務器申請證書時，必須經由管理員檢查后辦法才可以頒發使用。在部署了證書服務器后，服務器的名稱和域名均不可更改，但是可以更改IP地址。

配置連接授權和資源授權策略

為保證遠程桌面連接的安全性，需要在安裝RD網關的主機上創建授權策略，其包括連接授權策略CAP和資源授權策略RAP兩部分。連接授權的策略的作用是檢查訪問者是否符合要求。只有符合要求的連接者才可以連接到RD網關。資源授權策略的用途是指定訪問者可以通過RD網關連接到的內部的何種資源上。

在運行RD網關服務的主機上依次點擊“開始”、“管理工具”、“遠程桌面服務”、“遠程桌面網關”項，在RD網關管理器左側的“策略”項的右鍵菜單上點擊“創建授權策略”項，在彈出窗口中選擇“創建RD CAP和RD RAP”項，表示同時創建終端服務連接授權策略和管理終端服務資源授權策略。點擊“下一步”按鈕，輸入連接授權策略的名稱。在“下一步”窗口中選擇“密碼”項，表示使用密碼安全認證機制。在“用戶組成員身份”欄中點擊“添加組”按鈕，在彈出窗口中搜索并選擇所需的用戶組，將其導入。點擊“下一步”按鈕，選擇“啟用所有客戶端設備的設備重定向”項，可以將客戶端的磁盤、打印機等設備重定向到被控端。在“下一步”窗口中勾選“啟用空閑超時”項，可設置合適的時間值。這樣在遠程連接建立后，如空閑的時間超過該值，會自動斷開會話。勾選“啟用會話超時”項，設置合適的時間值。這樣，當連接會話的時間到達該值后，可以采取另種處理方法，一種是斷開會話連接。一種是斷開連接后自動執行驗證和重新授權。

依次點擊“下一步”按鈕，在創建RD RAP窗口中輸入資源授權策略名稱。在“下一步”窗口中添加和選擇對應的用戶組，使其可以通過RD網關連接到目標內網資源。點擊“下一步”按鈕，在選擇網絡資源窗口中選擇允許訪問的資源，可以選擇Active Directory域服務網絡資源組、RD網關服務器場成員列表等。這里選擇“允許用戶連接到任意網絡資源（計算機）”項，表示允許連接者訪問內網中的所有主機。在“下一步”窗口中選擇允許的TCP端口，默認為TCP 3389端口。也可以選擇“允許通過以下端口連接”項，設置別的端口，讓連接者通過該端口遠程連接網絡資源。在“下一步”窗口中點擊“完成”按鈕，完成終端策略的創建操作。

開啟內網主機遠程桌面/終端服務

在默認情況下，Windows服務器是禁止使用遠程桌面連接的，為此，可以在服務器管理器窗口中展開“服務器摘要”、“計算機信息”項，在其中點擊“配置遠程桌面”鏈接，在彈出窗口中的“遠程”面板中選擇“僅允許經使用網絡級別身份驗證的遠程桌面的計算機連接（更安全）”項，在彈出的提示窗口中點擊“確定”按鈕，啟用遠程桌面的防火墻例外功能。點擊“選擇用戶”按鈕，在遠程桌面用戶窗口中顯示可以使用遠程桌面連接的賬戶，默認只域管理員賬戶。點擊“添加”按鈕，可以將所需的賬戶和組添加進來。

在客戶端配置安全證書

當客戶端用戶想通過RD網關建立遠程桌面連接，必須通過身份驗證環節。在安裝RD網關服務時，已經提前在服務器中申請了數字證書，只有將該證書安裝到客戶機上才可以在客戶端和RD網關服務器之間建立信任關系，讓客戶端可以通過RD網關的身份驗證操作。在客戶機上打開IE瀏覽器，在地址欄中輸入證書服務器的地址。在彈出的登錄窗口中輸入域用戶管理員名稱和密碼，點擊“確定”按鈕，在證書服務頁面中點擊“下載CA證書，證書鏈或CRL”鏈接，在彈出頁面中點擊“下載CA證書”鏈接，在文件下載窗口中點擊“保存”按鈕，將證書文件保存到本機中。在該證書文件的屬性窗口中點擊“安裝證書”按鈕，在證書導入向導界面中點擊“下一步”按鈕，在證書存儲窗口中點擊“瀏覽”按鈕，選擇“受信任的跟證書頒發機構”項，在“下一步”窗口中點擊“完成”按鈕完成操作。

連接RD網關，控制內網終端服務器

當然，RD網關的應用很廣泛，管理遠程桌面只是其功能之一。讓客戶端可以通過遠程桌面連接程序，經由RD網關遠程管理服務器。運行“mstsc.exe”程序，在遠程桌面連接窗口中點擊“選項”按鈕，在“高級”面板中的“如果實際驗證不滿足最低策略要求”列表中選擇“向我發出警告”項。點擊“設置”按鈕，在設置界面中選擇“使用這些TS網關服務器設置”項，輸入RD網關服務器的域名，注意不是IP地址。否則的話將無法正常連接，系統會提示服務器地址與證書使用者名稱匹配等信息。這樣，客戶端主機必須可以正確解析該域名。

如果是局域網環境，可以直接執行驗證操作。所以可以選擇“跳過本地地址的TS網關服務器”項，如果RD網關服務器與內網中受保護的終端服務器的密碼相同，可以選中“將我的RD網關憑據用于遠程計算機”單選框，如果不同則無需選擇該項。保存設置后，在遠程桌面連接窗口中“常規”面板中輸入終端服務器的IP或者名稱，注意，RD網關服務器和終端服務器是有區別的，終端服務器可以隱藏在RD網關服務器的后面。RD網關服務器可以在Internet上擁有獨立的域名，而終端服務器只是內網主機，只擁有內網地址，RD網關服務器可以同時擁有外網和內網地址。而且終端服務器可能有多臺，用戶只需更改連接的IP即可，而連接參數中的RD網關的域名是不能更改的。

例如RD網關域名為“rdp.fdckln.com”， 而內網終端服務器的IP為“192.168.11.11”等。點擊“連接”按鈕后，在輸入用戶憑證窗口中輸入服務器上的對應賬戶名和密碼，該賬戶必須在預設的允許連接遠程桌面的賬戶列表中。點擊“確定”按鈕，在“網關服務器憑據”窗口中輸入具有連接終端服務器的域用戶名和密碼，當通過RD網關的身份認證后，就可以安全的連接到服務器的遠程桌面環境中，對其進行遠程控制。

使用Web方式，控制內網服務器

除了使用常規的連接程序外，還可以使用IE瀏覽器操控終端服務。當然，前提是必須在RD服務器上需要安裝遠程桌面Web訪問組件，并且在客戶端配置和RD網關安全通訊的證書文件。在IE中輸入終端服務器網址。如果在RD網關服務器的Web訪問站點激活了Windows身份驗證功能，就會顯示認證窗口，輸入擁有允許訪問RD網關服務器的賬戶名和密碼，通過認證后，在遠程桌面服務默認連接頁面頂部點擊“運行ActiveX空間”提示欄，安裝所需的ActiveX組件。

在“域/用戶名”欄中輸入允許連接到RD網關的賬戶名，在“密碼”欄中輸入其密碼。該賬戶必須預先在RD授權策略中配置。點擊“登錄”按鈕，連接到RD網關服務器，當連接成功后，點擊“遠程桌面”鏈接，在“連接選項”欄中輸入終端服務器的內網IP地址，設置遠程桌面尺寸。在“設備和資源”欄中選擇需要重定向的設備。點擊“連接”按鈕，在彈出窗口中勾選“剪切板”和“打印機”項，可以讓遠程主機使用客戶機的剪切板和打印機資源。點擊“連接”按鈕，在輸入憑據窗口中輸入允許登錄終端服務器的賬戶名和密碼，點擊“確定”按鈕進入遠程桌面使用環境，可對遠程主機進行各種控制操作。

對RD網關進行管理和監控

當客戶端通過RD網關連接到被控機后，在RD網關服務器上可以對其活動進行全面監控。在RD網關管理器窗口左側選擇“監視”項，在右側窗口顯示正在進行的所有連接項目，包括連接的ID、用戶ID、用戶名等信息。對于可疑的連接項目，可以在其右鍵菜單上點擊“斷開此用戶的連接”項，可以斷開該用戶的所有連接。如果點擊“斷開此鏈接”項，僅僅斷開選定的連接。