亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于智能卡的Windows終端遠(yuǎn)程維護(hù)設(shè)計(jì)

        2018-03-23 19:42:14
        數(shù)字通信世界 2018年6期
        關(guān)鍵詞:遠(yuǎn)程桌面智能卡口令

        張 忠

        (中核核電運(yùn)行管理有限公司,海鹽 314300)

        1 引言

        微軟活動(dòng)目錄(Active Directory)(下稱AD域)是面向Windows Standard Server、Windows Enterprise Server的目錄服務(wù),活動(dòng)目錄服務(wù)是Windows 2000以后操作系統(tǒng)平臺(tái)的中心組件之一。大型企業(yè)由于終端數(shù)量巨大,一般都采用基于AD域方式部署內(nèi)部網(wǎng)絡(luò),以減輕日常維護(hù)工作。

        2 技術(shù)背景

        2.1 RPD遠(yuǎn)程桌面

        微軟遠(yuǎn)程桌面(Microsoft Remote Desktop)連接組件是從Windows 2000 Server即開始由微軟公司提供,該組件開啟之后就可以在網(wǎng)絡(luò)的另一端控制這臺(tái)計(jì)算機(jī),就好像是直接在該計(jì)算機(jī)上操作一樣。這就是遠(yuǎn)程桌面的最大功能,通過該功能網(wǎng)絡(luò)管理員可以在家中安全的控制單位的服務(wù)器,而且由于該功能是系統(tǒng)內(nèi)置的,所以比其他第三方遠(yuǎn)程控制工具使用更方便更靈活。

        2.2 智能卡登錄

        從Windows 2000開始,微軟桌面操作系統(tǒng)提供了基于智能卡認(rèn)證的安全登錄支持,即Windows智能卡登錄。Windows操作系統(tǒng)的域認(rèn)證采用kerberos協(xié)議,kerberos協(xié)議支持共享口令和數(shù)字證書二種方式,基于域賬戶的域認(rèn)證采用共享口令,而基于智能卡登錄的域認(rèn)證采用數(shù)字證書方式,有更高的安全性。智能卡登錄是微軟操作系統(tǒng)的原生機(jī)制,包括XP、WIN7、WIN10等操作系統(tǒng)都支持,根據(jù)微軟智能卡登錄規(guī)范,智能卡設(shè)備需要支持PC/SC接口,市面上流行的智能卡設(shè)備一般都支持,安裝相應(yīng)的驅(qū)動(dòng)后即可支持智能卡登錄,無需額外安裝第三方軟件。

        3 風(fēng)險(xiǎn)分析

        通過遠(yuǎn)程桌面對故障終端進(jìn)行遠(yuǎn)程維護(hù)有二種情形,大致登錄步驟如下:

        3.1 辦公內(nèi)網(wǎng)環(huán)境

        (1)運(yùn)維人員通過個(gè)人賬號(hào)登錄工作用機(jī)。

        (2)運(yùn)維人員從工作用機(jī),通過遠(yuǎn)程桌面以管理賬號(hào)登錄管理中間機(jī)。

        (3)運(yùn)維人員從管理中間機(jī),通過遠(yuǎn)程桌面以域管理員賬號(hào)登錄故障終端。

        3.2 VPN拔入環(huán)境

        (1)運(yùn)維人員通過VPN拔入辦公內(nèi)網(wǎng)。

        (2)運(yùn)維人員通過遠(yuǎn)程桌面以管理賬號(hào)登錄管理中間機(jī)。

        (3)運(yùn)維人員從管理中間機(jī),通過遠(yuǎn)程桌面以域管理員賬號(hào)登錄故障登錄。

        分析上述登錄過程可看出,在遠(yuǎn)程維護(hù)過程中可能存在的問題有:

        (1)需要多次輸入賬號(hào)口令,并且在登錄故障終端時(shí)還需要輸入域管理員賬號(hào)口令,在遠(yuǎn)程桌面通訊中存在口令暴露的風(fēng)險(xiǎn)。

        (2)運(yùn)維人員登錄管理中心機(jī)時(shí),管理中間機(jī)的安全審計(jì)日志記錄的僅是管理賬號(hào)標(biāo)識(shí),審計(jì)日志的用戶標(biāo)識(shí)和登錄者真實(shí)認(rèn)證身份存在不匹配的問題。

        (3)運(yùn)維人員登錄故障終端時(shí),同時(shí)存在審計(jì)日志也無法記錄的真實(shí)用戶身份標(biāo)識(shí)的問題,而且由于通過管理中間機(jī)的跳轉(zhuǎn),故障終端只能記錄的訪問來源IP地址都是管理中間機(jī),導(dǎo)致事后監(jiān)管審計(jì)的困難。

        4 解決方案

        采用域賬戶方式身份認(rèn)證的遠(yuǎn)程管理導(dǎo)致身份鑒別信息保護(hù)及審計(jì)信息不準(zhǔn)確的問題,原因在于:一是在微軟遠(yuǎn)程桌面協(xié)議中,遠(yuǎn)程登錄的賬號(hào)和口令需要在網(wǎng)絡(luò)中傳輸,當(dāng)前出現(xiàn)中間人攻擊時(shí),就會(huì)有口令失竊的風(fēng)險(xiǎn)。二是由于賬號(hào)信息和真實(shí)身份實(shí)體的分離特點(diǎn),審計(jì)日志難于界定真實(shí)身份,尤其存在中間管理員的情況下,更難于進(jìn)行事件責(zé)任認(rèn)定。

        為此我們設(shè)計(jì)基于智能卡的遠(yuǎn)程維護(hù)解決方案,將遠(yuǎn)程登錄的身份認(rèn)證方式由域賬戶更換為智能卡。智能卡認(rèn)證為基于非對稱密鑰算法的安全技術(shù),身份實(shí)體信息和證書設(shè)備為唯一從屬關(guān)系,認(rèn)證過程不存在明文鑒別信息的網(wǎng)絡(luò)傳輸,從根本下消除賬戶口令方式認(rèn)證的安全風(fēng)險(xiǎn)。具體思路及操作步驟如下:

        (1)在企業(yè)內(nèi)部部署PKI基礎(chǔ)設(shè)施,用于給發(fā)放智能卡證書。

        (2)為運(yùn)維人員發(fā)放和本人身份信息一致的智能卡證書,特別是證書的主題備用名必須是運(yùn)維人員所對應(yīng)的域賬戶名稱。

        (3)配置用戶策略,將運(yùn)維人員進(jìn)行名稱映射,允許將一張智能卡證書映射到多個(gè)賬戶,比如中間管理員賬戶、AD域管理員賬戶等。

        (4)配置AD域組策略,限制遠(yuǎn)程桌面登錄必須采用智能卡方式。

        (5)配置AD域組策略,為每個(gè)終端分發(fā)智能卡設(shè)備驅(qū)動(dòng)。

        按以上步驟配置完成后,運(yùn)維人員就可以通過智能卡方式遠(yuǎn)程訪問其它終端,若不采用智能卡設(shè)備,直接通過賬戶方式,則會(huì)拒絕登錄。

        5 結(jié)束語

        在大型企業(yè)中,微軟遠(yuǎn)程桌面是日常網(wǎng)絡(luò)運(yùn)維經(jīng)常使用的工具,但采用賬戶口令方式對遠(yuǎn)程終端進(jìn)行登錄訪問,存在一定的安全風(fēng)險(xiǎn)。本文對遠(yuǎn)程桌面登錄的過程進(jìn)行剖析,結(jié)合《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基礎(chǔ)要求》對終端登錄的安全要求,提出了遠(yuǎn)程桌面維護(hù)采用智能卡方式代替?zhèn)鹘y(tǒng)的賬戶口令方式的解決方案。基于該方案的遠(yuǎn)程桌面管理,可更好滿足企業(yè)網(wǎng)絡(luò)在身份鑒別和安全審計(jì)的管理要求,保障企業(yè)網(wǎng)絡(luò)的健康使用和可控管理。

        [1] 俞剛.智能卡-PKI私鑰的安全載體[J].計(jì)算機(jī)與數(shù)字工程,2008(11).

        猜你喜歡
        遠(yuǎn)程桌面智能卡口令
        高矮胖瘦
        東方磁卡李曉東:進(jìn)擊的智能卡研發(fā)巨子
        口 令
        基于STC89 單片機(jī)的非接觸智能卡讀寫機(jī)設(shè)計(jì)
        電子制作(2017年17期)2017-12-18 06:40:36
        實(shí)戰(zhàn)Windows Server 2008 R2遠(yuǎn)程桌面服務(wù)
        好玩的“反口令”游戲
        安裝遠(yuǎn)程桌面服務(wù)
        為Windows 2012指定授權(quán)服務(wù)器
        SNMP服務(wù)弱口令安全漏洞防范
        監(jiān)控遠(yuǎn)程用戶行為
        亚洲天堂亚洲天堂亚洲色图| 欧美a级在线现免费观看| 91狼友在线观看免费完整版| 日韩av天堂综合网久久| 欲香欲色天天天综合和网| 亚洲国产美女精品久久久| 亚洲VA中文字幕无码毛片春药| 极品少妇在线观看视频| 成人日韩精品人妻久久一区| 成人a级视频在线观看| 亚洲AV综合久久九九| 久久综合久中文字幕青草| 欧美最猛性xxxx| 夜夜躁狠狠躁2021| 成人片在线看无码不卡| 中文字幕亚洲高清精品一区在线| 国产成人无码a区在线观看导航 | 亚洲女厕偷拍一区二区| 欧美黑寡妇特a级做爰| 久久99国产乱子伦精品免费| 少妇一级aa一区二区三区片| 国产亚洲午夜精品久久久| 国产午夜精品一区二区| 亚洲午夜精品a区| 一区二区亚洲精美视频| 第一次处破女18分钟高清| 国产成人亚洲综合无码| 成人av资源在线观看| 在线不卡av一区二区| 国产亚洲成性色av人片在线观| 国产a√无码专区亚洲av| 亚洲日本va午夜在线电影| 久久精品国产亚洲黑森林| 久久久人妻丰满熟妇av蜜臀| 久久久久亚洲精品无码系列| 18禁超污无遮挡无码免费游戏| 久久久亚洲精品蜜桃臀| 亚洲精品国产综合久久| а√天堂资源官网在线资源| 国产天堂在线观看| 在线一区二区三区免费视频观看|