聚焦Windows Server 2008终端服务安全问题

核心提示：在Windows Server 2008的终端服务(Terminal Services)中最大的亮点就是整体安全性的提高，作为管理员和用户最常使用的远程访问服务器之一，聚焦Windows Server 2008终端服务安全问题，这种安全性的提高也并不让人意外，并且非常受到大家的欢迎，能够启动session登录屏幕可能会

在Windows Server 2008的终端服务(Terminal Services)中最大的亮点就是整体安全性的提高，作为管理员和用户最常使用的远程访问服务器之一，这种安全性的提高也并不让人意外，并且非常受到大家的欢迎。在本文中我们将讨论怎样做才能确保你的终端服务器(Terminal Server)环境更加安全。

使用双重因素验证

当我们在考虑网络安全时，我们有必要进行双重因素验证。

目前主要有集中不同形式的双重因素验证方式，不过最常用的是终端服务所支持的智能卡(Smart Card)。在使用智能卡时，用户不仅需要提供有效的登录凭证，而且他们必须能够提供智能卡连接到他们用于作为远程终端的设备。

为了获取智能卡验证，你必须创建一个能够运用到终端服务器的组策略对象(Group Policy Object)。在组策略对象中，浏览Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesSecurity Options，并启用Interactive Logon: Require Smart Card设置。此外，你将需要启用智能卡重新定位到终端服务器，可以通过在用户工作组上的远程桌面连接客户端的本地资源选项中，勾选智能卡选项。

为所有客户端执行网络级别的身份验证

在过去，在服务器上部署终端服务验证是通过连接服务器上的会话(session)然后在Windows Server登录屏幕中输入登录凭证。这听起来似乎非常麻烦，但是从安全的角度来看，能够启动session登录屏幕可能会暴露关于网络的信息(域名，计算机名称等)或者可能让服务器受到拒绝服务攻击，这种攻击主要来自拥有服务器公用IP地址的人。