遠程桌面安全全解(上)

張青 2006-08-28

展開全文

遠程桌面安全全解(上)

從windows2000 server版本開始微軟就將一個名為“遠程桌面”的程序集成到操作系統(tǒng)中，通過這個“遠程桌面”網絡管理員可以在網絡的另一端輕松的控制公司的服務器，在上面進行操作，刪除程序，運行命令和在本地計算機一樣。因此“遠程桌面”功能極大的方便了網絡管理員的工作，在推出以后受到了越來越多網管的青睞。然而隨著網絡的普及，網絡的安全性越來越受到企業(yè)的重視，很多網管發(fā)現(xiàn)使用windows的遠程桌面功能操作服務器有一定的安全隱患，也就是說數據傳輸的安全級不夠高，雖然傳輸信息進行了一定的加密，但黑客高手還是很容易將其還原成本來信息的。正因為遠程桌面在安全性上的不足使得一些網絡管理員開始尋求其他遠程控制工具，例如remote admin,pc any where等。
微軟公司非常看中遠程控制軟件的市場。為了提高遠程桌面的安全級別，保證數據不被黑客竊取，在Windows2003的最新補丁包SP1中添加了一個安全認證方式的遠程桌面功能。通過這個功能我們可以使用SSL加密信息來傳輸控制遠程服務器的數據，從而彌補了遠程桌面功能本來的安全缺陷。
提示：如果你使用的是windows2003，但是沒有安裝最新的SP1補丁的話還是不能夠使用SSL加密的遠程桌面認證方式。因此建議各個公司馬上將服務器升級到windows2003+SP1。
一、危機四伏親手破解連接信息：
究竟沒有使用SSL加密傳輸信息的遠程桌面認證方式有多危險，今天我們就跟隨高級網絡工程師一起來窺探個究竟。
實驗環(huán)境：
單位服務器windows2000server版+SP4補丁包，網絡狀況是光纖10M出口。家中計算機為windows XP pro版+SP2補丁包，網絡狀況是北京網通ADSL 512KB。家中使用XP自帶的沒有包含SSL認證的遠程桌面連接功能控制服務器。
破解過程：
第一步：在家中計算機中安裝sniffer數據包分析工具，選擇網卡為本地網卡。（如圖1）

圖1 點擊看大圖

提示：其實將sniffer工具安裝在與家中計算機處于同一個子網中的計算機進行監(jiān)控也是沒有任何問題的，他同樣可以監(jiān)測到下面提到的數據信息。
第二步：通過sniffer菜單中的“capture->start”來啟動監(jiān)測功能，當然直接點快捷按鈕的開始小箭頭也是一樣的。
第三步：這時候啟動XP的遠程桌面連接程序，訪問公司的服務器。
第四步：登錄到服務器后輸入正確的用戶名和密碼進入桌面，然后退出。
第五步：完成登錄服務器的操作后回到本地計算機的sniffer程序，點菜單的“capture->stop and display”來停止監(jiān)測并顯示結果。（如圖2）

圖2 點擊看大圖

第六步：在顯示結果窗口中點左邊的“objects”標簽，如果你是通過寬帶路由器多臺計算機共享上網的話就會在“objects”窗口中看到我們要訪問服務器的IP地址了，當然對于那些只有一臺計算機并通過ADSL貓上網的朋友，由于ADLS貓充當了IP地址轉換和過濾的工作，所以只會在“objects”窗口看到本地網卡的信息。選中本地網卡或服務器的IP地址然后點下方的“decode”標簽進行數據包分析。（如圖3）

圖3 點擊看大圖

第七步：在“DECODE”標簽中我們就可以對監(jiān)測到的數據包進行分析了。我們從最上方開始分析目的地地址。在第23個數據包時就會看到服務器的IP地址，這些數據包就是我們要仔細分析的。（如圖4）

圖4 點擊看大圖

第八步：繼續(xù)往下分析到第26個數據包時就從最下方的數據信息中可以清晰的看到登錄服務器時所輸入的用戶名——“softer”了。（如圖5）

圖5 點擊看大圖

第九步：在分析到第28和29個數據包時就會在數據信息處看到經過加密的密碼信息了。（如圖6）雖然我們無法辯識但黑客可以根據這些密文進行反編譯。編譯過程比較長，類似于窮舉法。（如圖7）

圖6 點擊看大圖

圖7 點擊看大圖

雖然遠程桌面連接傳輸信息時不同于FTP與telnet那樣使用明文傳輸，但是用戶名的明文傳輸與密碼的簡單加密還是存在著很大的安全隱患的，數據包很容易被黑客偷窺并破解。所以我們要將遠程桌面安全進行到底。

二、銅墻鐵壁使用證書加密認證：

首先要將服務器升級到最新版本windows2003，然后還需要通過windows update或網站將service packet 1補丁包安裝。因為只有安裝了SP1的Windows2003才具備通過SSL加密的遠程桌面功能。以下所有操作都是對服務器而言的，只有服務器經過設置容許支持SSL加密認證，客戶端才可以通過遠程桌面訪問程序正常連接。
1.安裝證書服務：
第一步：默認情況下windows2003沒有安裝證書服務，我們通過控制面板的添加/刪除windows組件來安裝“證書服務”。（如圖8）

圖8 點擊看大圖

第二步：在CA證書類型中選擇“獨立根CA”，然后點“下一步”繼續(xù)。（如圖9）

圖9 點擊看大圖

第三步：在CA識別信息窗口中為安裝的CA起一個公用名稱——softer，可分辨名稱后綴處空白不填寫，有效期限保持默認5年即可。（如圖10）

圖10 點擊看大圖

第四步：在證書數據庫設置窗口我們保持默認即可，因為只有保證默認目錄（windows\system32\certlog）系統(tǒng)才會根據證書類型自動分類和調用。點“下一步”后繼續(xù)。（如圖11）

圖11 點擊看大圖

第五步：配置好安裝證書所需要的參數后系統(tǒng)就開始安裝該組件，當然在安裝過程中會提示要求插入WINDOWS2003系統(tǒng)光盤。（如圖12）

圖12 點擊看大圖

第六步：插入光盤找到系統(tǒng)文件后繼續(xù)安裝，在安裝服務的最后系統(tǒng)會提示“要容許證書服務需要啟用IIS的ASP功能”，我們選擇“是”來啟用ASP。（如圖13）

圖13 點擊看大圖

第七步：完成CA證書服務的windows組件安裝工作。（如圖14）

圖14 點擊看大圖

提示：如果windows2003沒有安裝IIS組件的話還需要按照上面介紹的方法將IIS組件也安裝。

2.設置證書服務參數：

默認情況下證書類型不是我們本次操作所需要的，所以還需要對其進行修改設置。
第一步：通過任務欄的“開始->程序->管理工具->證書頒發(fā)機構”來打開證書設置窗口。（如圖15）

圖15 點擊看大圖

第二步：如果證書頒發(fā)機構中沒有顯示出任何計算機則我們需要通過“文件”菜單中的設置來加載本地計算機的證書服務。（如圖16）

圖16 點擊看大圖

第三步：在計算機softer上點鼠標右鍵選擇“屬性”，然后點“策略?？?#8221;標簽，在策略?？鞓撕炏逻€有一個“屬性”按鈕。（如圖17）

圖17

第四步：點屬性按鈕后在設置請求處理窗口中將默認的設置修改為“如果可以的話，按照證書模板中的設置。否則，將自動頒發(fā)證書”。（如圖18）

圖18

3.申請證書
IIS啟動后我們就可以通過網頁來申請證書了。
第一步：打開IE瀏覽器，在地址欄處輸入http://ip/certsrv/。例如服務器地址為10.91.30.45，則輸入http://10.91.30.45/certsrv，如果IIS工作正常，證書服務安裝正確的話會出現(xiàn)microsoft證書服務界面。（如圖19）

圖19 點擊看大圖

第二步：我們在該界面中選擇“申請一個證書”。
第三步：在申請證書界面選擇“高級證書申請”。（如圖20）

圖20 點擊看大圖

第四步：在高級證書申請界面選擇“創(chuàng)建并向此CA提交一個申請”。（如圖21）

圖21 點擊看大圖

第五步：在高級證書申請?zhí)顚懡缑嫘枰覀冃薷牡牡胤奖容^多，首先輸入姓名，這個姓名要填寫服務器的IP地址。
提示：如果高級證書姓名填寫的是其他信息，那么在配置SSL加密認證時會出現(xiàn)配置信息與服務器名不符合的錯誤。所以務必填寫服務器的IP地址。
第六步：電子郵件和公司，部門，地區(qū)等信息隨意填寫。
第七步：需要的證書類型選擇“服務器身份驗證證書”。
第八步：密鑰選項設置為“創(chuàng)建新密鑰集”。
第九步：密鑰用戶設置為“交換”。
第十步：將最下方的“標記密鑰為可導出”與“將證書保存在本地計算機存儲”前打對勾。至此高級證書申請參數填寫完畢。（如圖22）

圖22 點擊看大圖

第十一步：點提交申請后會出現(xiàn)“潛在的腳本沖突”提示，我們不用理會直接選擇“是”即可。（如圖23）

圖23

第十二步：提交申請完畢會出現(xiàn)證書掛起的提示，系統(tǒng)會提示你的申請信息已經掛起，等待管理員頒發(fā)，并還會顯示出申請ID的序號。（如圖24）

圖24 點擊看大圖

至此我們就完成了證書的申請工作，接下來還需要對申請的證書進行頒發(fā)，只有頒發(fā)了我們才可以開始使用。
4.頒發(fā)證書：

下面為大家介紹如何頒發(fā)剛剛申請的證書。
第一步：通過任務欄的“開始->程序->管理工具->證書頒發(fā)機構”來打開證書設置窗口。
第二步：在本地計算機softer下的“掛起的申請”處會看到有一個申請，ID號為2，這個就是剛才的申請。
第三步：在該申請上點鼠標右鍵選擇“所有任務->頒發(fā)”，頒發(fā)后我們申請的證書就可以使用了。（如圖25）

圖25 點擊看大圖

5.安裝證書：
證書已經通過服務器的審批，下面就要在服務器上安裝我們申請的證書。只有擁有了證書才能讓我們遠程訪問中傳輸的數據更加安全。
第一步：打開IE瀏覽器，在地址欄處輸入http://ip/certsrv/。例如服務器地址為10.91.30.45，則輸入http://10.91.30.45/certsrv，如果IIS工作正常，證書服務安裝正確的話會出現(xiàn)microsoft證書服務界面。
第二步：選擇“查看掛起的證書申請狀態(tài)”，在這里會看到我們原來提交的那個“服務器身份驗證證書”的蹤影。（如圖26）

圖26 點擊看大圖

第三步：點該“服務器身份驗證證書”后出現(xiàn)證書已頒發(fā)的提示，我們直接點“安裝此證書”。（如圖27）

圖27 點擊看大圖

第四步：系統(tǒng)會彈出“潛在的腳本沖突”提示，我們不用理睬繼續(xù)點“是”即可。系統(tǒng)會自動將該證書安裝在服務器上。（如圖28）

圖28 點擊看大圖

第五步：安裝完畢系統(tǒng)會以網頁的形式將“證書已安裝信息”反饋給用戶。（如圖29）

29 點擊看大圖

總結：本篇文章的講解了遠程桌面連接自身的安全隱患并且為大家介紹了“將遠程桌面安全進行到底”中的“服務安裝”，“設置證書”，“申請證書”，“頒發(fā)證書”以及“安裝證書”。當然“將遠程桌面安全進行到底”涉及的內容比較多，在下半部分中筆者將為大家介紹“服務器上遠程桌面連接的加密設置”，“客戶機的具有加密功能遠程桌面功能的安裝”以及“客戶機證書的安裝“等操作。