Насколько безопасны службы терминалов Windows?

Опубликовано: 14 Апреля, 2023

Посетите MSTerminalServices.org


Но как насчет безопасности? Какие проблемы безопасности возникают при использовании служб терминалов/удаленного рабочего стола? Безопасно ли использовать этот тип удаленного подключения для работы с конфиденциальными или конфиденциальными данными? В этой статье мы рассмотрим безопасность Windows Terminal Services/Remote Desktop и шаги, которые вы можете предпринять, чтобы сделать ваш сервер терминалов и терминальные сеансы более безопасными.


Уязвимы ли службы терминалов?


Доступ и безопасность всегда противоречат друг другу в сетевом мире. Любая функция или технология, предоставляющая авторизованным пользователям новый способ удаленного доступа к системе, также представляет собой потенциальный способ получения доступа неавторизованными пользователями. Поскольку службы терминалов используются в административном режиме в Windows 2000 (а удаленный рабочий стол используется в Windows Server 2003), чтобы позволить администраторам выполнять такие задачи, как создание учетных записей пользователей и установка разрешений, изменение конфигурации системы и другие важные задачи, логично подвергать сомнению безопасность сеанса терминальных служб.


Ваш сервер терминалов уязвим для тех же эксплойтов, которые могут быть использованы против любого сервера Windows, поэтому важно сначала убедиться, что установлены все текущие обновления безопасности и исправления. Сообщалось также об уязвимостях безопасности, непосредственно связанных со службами терминалов Windows 2000. Например, SecuriTeam описывает уязвимость, из-за которой групповая политика может не применяться к терминальным пользователям, если количество установленных пользовательских лицензий меньше количества текущих подключений. См. http://www.securiteam.com/windowsntfocus/5QP0D006US.html для получения более подробной информации.


Для использования служб терминалов через Интернет потребуется открыть порт 3389, используемый протоколом удаленного рабочего стола (RDP), на брандмауэре. Каждый дополнительный открытый порт подвергает сеть риску взлома. Соединение RDP-TCP настраивается для сетевого адаптера сервера терминалов, чтобы пользователи могли подключаться.


Защита связи служб терминалов


Как же тогда воспользоваться удобством служб терминалов Windows и при этом защитить свои системы? Во-первых, убедитесь, что службы терминалов не установлены (или не включены) в системах, если вы не хотите, чтобы к этим системам осуществлялся удаленный доступ. Это включает удаленный рабочий стол на компьютерах с Windows XP Professional. В Windows 2000 Server и Server 2003 TS по умолчанию не устанавливается. Функция удаленного рабочего стола установлена в Windows XP Pro и Windows Server 2003, но отключена по умолчанию (Windows XP Home и Windows 2000 Pro не включают службу удаленного рабочего стола). Тем не менее рекомендуется проверить, особенно если вы не устанавливали операционную систему, чтобы убедиться, что эти службы не включены на машинах, которым они не нужны.


ПРИМЕЧАНИЕ. Важно различать службу удаленного рабочего стола и клиентское программное обеспечение подключения к удаленному рабочему столу. Последний включен в XP Home и Windows 2000 Pro и может быть установлен на компьютеры с Windows 9x и NT, а также на некоторые сторонние операционные системы. Клиентское программное обеспечение не представляет угрозы безопасности.


Чтобы отключить или включить службу удаленного рабочего стола на компьютере с Windows XP Pro или Windows Server 2003, выполните следующие действия:



  1. Щелкните Пуск | Панель управления и выберите системный апплет.
  2. Щелкните вкладку Удаленное.
  3. В разделе «Удаленный рабочий стол» убедитесь, что флажок «Разрешить пользователям удаленно подключаться к этому компьютеру» снят.

Что делать, если вы хотите сделать систему доступной для удаленного доступа через службы терминалов/удаленный рабочий стол? Что вы можете сделать, чтобы максимально обезопасить эту систему? В следующих разделах мы покажем вам несколько способов.


Настройка терминального сервера


Существуют некоторые существенные различия между Windows 2000 и Windows Server 2003, когда речь идет о службах терминалов. В этой статье мы сосредоточимся на службах терминалов Windows 2000 с некоторыми ссылками на службу удаленного рабочего стола Server 2003 и Windows XP/2003.


Терминальный сервер Windows 2000 может быть установлен в одном из двух режимов: административный или сервер приложений. В административном режиме только пользователи с административными учетными записями могут получить доступ к терминальному серверу, и разрешены только два таких соединения одновременно. Такие пользователи смогут вносить изменения в конфигурацию терминального сервера, поэтому абсолютно необходимо, чтобы вы начали свой план обеспечения безопасности, гарантируя, что административные права не будут предоставлены пользователям, которым они не должны быть предоставлены.


Если вы хотите, чтобы обычные пользователи имели доступ к серверу терминалов для запуска приложений (решение «тонкий клиент»), вам необходимо установить службы терминалов в режиме сервера приложений. Затем вы можете назначать разрешения служб терминалов пользователям и группам, чтобы контролировать, как они могут получить доступ к серверу терминалов.


Защита соединения RDP-TCP


Вы можете настроить свойства соединения RDP-TCP сервера терминалов, чтобы обеспечить лучшую защиту. Например:



  • Ограничьте количество клиентских сеансов, которые могут оставаться активными на сервере (упрощая отслеживание того, кто подключен)
  • Установите ограничения по времени сеанса (помогает гарантировать, что сеансы не останутся без присмотра и не будут активны в течение длительного времени)
  • Ограничить повторное подключение отключенного сеанса к клиентскому компьютеру, с которого пользователь первоначально подключился, если используется клиентское программное обеспечение Citrix ICA.
  • Настроить уровни шифрования
  • Установка разрешений для пользователей и групп на терминальном сервере

Использование шифрования


Шифрование можно использовать для защиты данных, передаваемых между сервером терминалов и клиентом служб терминалов. Если вы опасаетесь несанкционированного перехвата данных при их передаче между ними, вам следует включить шифрование. Используется шифрование RSA RC4; шифрование может быть установлено на один из следующих трех уровней:



  • Высокий: шифрует как данные, отправляемые с клиента на сервер, так и данные, отправляемые с сервера на клиент, с использованием 128-битного ключа.
  • Средний: шифрует как данные, отправляемые с клиента на сервер, так и данные, отправляемые с сервера на клиент, с помощью 56-битного ключа, если клиент работает под управлением Windows 2000 или более поздней версии, или 40-битного ключа, если используется более ранняя версия клиента.
  • Низкий: шифруются только данные, отправляемые с клиента на сервер, с использованием 56- или 40-битного ключа, в зависимости от версии клиента. Полезно для защиты имен пользователей и паролей, отправляемых с клиента на сервер.

Чтобы изменить уровень шифрования, вы должны быть администратором. В программах | «Администрирование», выберите «Конфигурация служб терминалов» и выполните следующие действия:



  1. В левой панели консоли выберите Подключения.
  2. На правой панели сведений щелкните правой кнопкой мыши RDP-TCP и выберите «Свойства».
  3. Щелкните вкладку Общие.
  4. В разделе «Уровень шифрования» выберите нужный уровень в раскрывающемся списке и нажмите «ОК».

Права и разрешения


Теперь давайте рассмотрим права и разрешения в отношении использования терминальных служб Windows 2000. Пользователи, группы и компьютеры могут быть добавлены в список разрешений через вкладку «Разрешения» в свойствах соединения RDP-TCP. Щелкните Добавить и выберите пользователя, группу или имя компьютера.


Можно предоставить три основных разрешения:



  • Полный доступ (предоставляется администраторам и системе; позволяет входить на сервер терминалов, изменять параметры подключения, подключаться к сеансу, получать информацию о сеансе, сбрасывать или завершать сеанс, выходить из других пользователей, удаленно управлять сеансами других пользователей, отправлять сообщения другим пользователям и отключение сеансов.
  • Пользовательский доступ (предоставляется обычным пользователям; позволяет входить на терминальный сервер, получать информацию о сеансе, подключаться к сеансу или отправлять сообщения другим сеансам пользователя).
  • Гостевой доступ (для пользователей с ограниченным доступом; позволяет войти на терминальный сервер).

Настройки служб терминалов для каждого пользователя


Вы можете настроить ряд параметров служб терминалов для каждого пользователя через Active Directory Users and Computers. Вы должны быть администратором домена; откройте инструмент администрирования ADUC и выполните следующие действия:



  1. На левой панели разверните доменное имя и щелкните папку «Пользователи».
  2. На правой панели щелкните правой кнопкой мыши имя пользователя и выберите «Свойства».
  3. Перейдите на вкладку «Профиль служб терминалов».
  4. Установите или снимите флажок Разрешить вход на сервер терминалов внизу, чтобы контролировать, может ли пользователь получить доступ к серверу терминалов.

С помощью этой вкладки вы можете создать профиль и указать путь к домашнему каталогу служб терминалов.


С помощью вкладки «Сеансы» вы можете установить ограничения времени ожидания сеанса терминала для конкретного пользователя, контролировать, что происходит при достижении лимита сеанса или разрыве соединения, а также определить, может ли пользователь повторно подключиться к сеансу через любой клиентский компьютер или только исходный. один.


Вкладка «Удаленное управление» используется для настройки того, могут ли администраторы просматривать сеансы пользователя и управлять ими удаленно, и если да, то потребуется ли разрешение пользователя.


Вкладку Environment можно использовать для установки среды запуска для пользователя. Конкретная программа может быть запущена, когда пользователь входит в систему на терминальном сервере, и вы можете указать, будут ли клиентские устройства подключаться при входе в систему.


Резюме


Любое удаленное подключение открывает систему для некоторых уязвимостей, но службы терминалов Windows включают параметры конфигурации, которые дают администраторам возможность лучше защищать терминальные сеансы. В этой статье мы обсудили несколько методов, с помощью которых вы можете сделать службы терминалов доступными для пользователей без ущерба для безопасности вашей сети или системы.


Посетите MSTerminalServices.org

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023