張 忠

（中核核電運(yùn)行管理有限公司，海鹽 314300）

1 引言

微軟活動(dòng)目錄（Active Directory）（下稱AD域）是面向Windows Standard Server、Windows Enterprise Server的目錄服務(wù)，活動(dòng)目錄服務(wù)是Windows 2000以后操作系統(tǒng)平臺(tái)的中心組件之一。大型企業(yè)由于終端數(shù)量巨大，一般都采用基于AD域方式部署內(nèi)部網(wǎng)絡(luò)，以減輕日常維護(hù)工作。

2 技術(shù)背景

2.1 RPD遠(yuǎn)程桌面

微軟遠(yuǎn)程桌面（Microsoft Remote Desktop）連接組件是從Windows 2000 Server即開始由微軟公司提供，該組件開啟之后就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)計(jì)算機(jī)，就好像是直接在該計(jì)算機(jī)上操作一樣。這就是遠(yuǎn)程桌面的最大功能，通過該功能網(wǎng)絡(luò)管理員可以在家中安全的控制單位的服務(wù)器，而且由于該功能是系統(tǒng)內(nèi)置的，所以比其他第三方遠(yuǎn)程控制工具使用更方便更靈活。

2.2 智能卡登錄

從Windows 2000開始，微軟桌面操作系統(tǒng)提供了基于智能卡認(rèn)證的安全登錄支持，即Windows智能卡登錄。Windows操作系統(tǒng)的域認(rèn)證采用kerberos協(xié)議，kerberos協(xié)議支持共享口令和數(shù)字證書二種方式，基于域賬戶的域認(rèn)證采用共享口令，而基于智能卡登錄的域認(rèn)證采用數(shù)字證書方式，有更高的安全性。智能卡登錄是微軟操作系統(tǒng)的原生機(jī)制，包括XP、WIN7、WIN10等操作系統(tǒng)都支持，根據(jù)微軟智能卡登錄規(guī)范，智能卡設(shè)備需要支持PC/SC接口，市面上流行的智能卡設(shè)備一般都支持，安裝相應(yīng)的驅(qū)動(dòng)后即可支持智能卡登錄，無需額外安裝第三方軟件。

3 風(fēng)險(xiǎn)分析

通過遠(yuǎn)程桌面對故障終端進(jìn)行遠(yuǎn)程維護(hù)有二種情形，大致登錄步驟如下：

3.1 辦公內(nèi)網(wǎng)環(huán)境

（1）運(yùn)維人員通過個(gè)人賬號(hào)登錄工作用機(jī)。

（2）運(yùn)維人員從工作用機(jī)，通過遠(yuǎn)程桌面以管理賬號(hào)登錄管理中間機(jī)。

（3）運(yùn)維人員從管理中間機(jī)，通過遠(yuǎn)程桌面以域管理員賬號(hào)登錄故障終端。

3.2 VPN拔入環(huán)境

（1）運(yùn)維人員通過VPN拔入辦公內(nèi)網(wǎng)。

（2）運(yùn)維人員通過遠(yuǎn)程桌面以管理賬號(hào)登錄管理中間機(jī)。

（3）運(yùn)維人員從管理中間機(jī)，通過遠(yuǎn)程桌面以域管理員賬號(hào)登錄故障登錄。

分析上述登錄過程可看出，在遠(yuǎn)程維護(hù)過程中可能存在的問題有：

（1）需要多次輸入賬號(hào)口令，并且在登錄故障終端時(shí)還需要輸入域管理員賬號(hào)口令，在遠(yuǎn)程桌面通訊中存在口令暴露的風(fēng)險(xiǎn)。

（2）運(yùn)維人員登錄管理中心機(jī)時(shí)，管理中間機(jī)的安全審計(jì)日志記錄的僅是管理賬號(hào)標(biāo)識(shí)，審計(jì)日志的用戶標(biāo)識(shí)和登錄者真實(shí)認(rèn)證身份存在不匹配的問題。

（3）運(yùn)維人員登錄故障終端時(shí)，同時(shí)存在審計(jì)日志也無法記錄的真實(shí)用戶身份標(biāo)識(shí)的問題，而且由于通過管理中間機(jī)的跳轉(zhuǎn)，故障終端只能記錄的訪問來源IP地址都是管理中間機(jī)，導(dǎo)致事后監(jiān)管審計(jì)的困難。

4 解決方案

采用域賬戶方式身份認(rèn)證的遠(yuǎn)程管理導(dǎo)致身份鑒別信息保護(hù)及審計(jì)信息不準(zhǔn)確的問題，原因在于：一是在微軟遠(yuǎn)程桌面協(xié)議中，遠(yuǎn)程登錄的賬號(hào)和口令需要在網(wǎng)絡(luò)中傳輸，當(dāng)前出現(xiàn)中間人攻擊時(shí)，就會(huì)有口令失竊的風(fēng)險(xiǎn)。二是由于賬號(hào)信息和真實(shí)身份實(shí)體的分離特點(diǎn)，審計(jì)日志難于界定真實(shí)身份，尤其存在中間管理員的情況下，更難于進(jìn)行事件責(zé)任認(rèn)定。

為此我們設(shè)計(jì)基于智能卡的遠(yuǎn)程維護(hù)解決方案，將遠(yuǎn)程登錄的身份認(rèn)證方式由域賬戶更換為智能卡。智能卡認(rèn)證為基于非對稱密鑰算法的安全技術(shù)，身份實(shí)體信息和證書設(shè)備為唯一從屬關(guān)系，認(rèn)證過程不存在明文鑒別信息的網(wǎng)絡(luò)傳輸，從根本下消除賬戶口令方式認(rèn)證的安全風(fēng)險(xiǎn)。具體思路及操作步驟如下：

（1）在企業(yè)內(nèi)部部署PKI基礎(chǔ)設(shè)施，用于給發(fā)放智能卡證書。

（2）為運(yùn)維人員發(fā)放和本人身份信息一致的智能卡證書，特別是證書的主題備用名必須是運(yùn)維人員所對應(yīng)的域賬戶名稱。

（3）配置用戶策略，將運(yùn)維人員進(jìn)行名稱映射，允許將一張智能卡證書映射到多個(gè)賬戶，比如中間管理員賬戶、AD域管理員賬戶等。

（4）配置AD域組策略，限制遠(yuǎn)程桌面登錄必須采用智能卡方式。

（5）配置AD域組策略，為每個(gè)終端分發(fā)智能卡設(shè)備驅(qū)動(dòng)。

按以上步驟配置完成后，運(yùn)維人員就可以通過智能卡方式遠(yuǎn)程訪問其它終端，若不采用智能卡設(shè)備，直接通過賬戶方式，則會(huì)拒絕登錄。

5 結(jié)束語

在大型企業(yè)中，微軟遠(yuǎn)程桌面是日常網(wǎng)絡(luò)運(yùn)維經(jīng)常使用的工具，但采用賬戶口令方式對遠(yuǎn)程終端進(jìn)行登錄訪問，存在一定的安全風(fēng)險(xiǎn)。本文對遠(yuǎn)程桌面登錄的過程進(jìn)行剖析，結(jié)合《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)要求》對終端登錄的安全要求，提出了遠(yuǎn)程桌面維護(hù)采用智能卡方式代替?zhèn)鹘y(tǒng)的賬戶口令方式的解決方案。基于該方案的遠(yuǎn)程桌面管理，可更好滿足企業(yè)網(wǎng)絡(luò)在身份鑒別和安全審計(jì)的管理要求，保障企業(yè)網(wǎng)絡(luò)的健康使用和可控管理。

[1] 俞剛.智能卡-PKI私鑰的安全載體[J].計(jì)算機(jī)與數(shù)字工程，2008（11）.