聚焦Windows Server 2008终端服务安全问题

核心提示： Windows Server2008中新增了被称为Easy Print(简易打印)的功能，这从根本上改变了本地连接打印机的处理方式，聚焦Windows Server 2008终端服务安全问题(4)，从本质上来说，TS Easy Print是一个驱动程序，我们必须限制这种现象，这不仅可以防止

Windows Server2008中新增了被称为Easy Print(简易打印)的功能，这从根本上改变了本地连接打印机的处理方式。从本质上来说，TS Easy Print是一个驱动程序，能够作为代理将所有通过的数据进行重新定向。当客户端使用简易打印驱动程序从设备打印时，数据和打印设置都将转换为常用格式发送给终端服务器进行处理。在这个过程中，点击打印后，打印对话框是从客户端弹出的，而不是从终端会话中弹出的，这意味着不需要在终端服务器上安装驱动程序来处理本地打印设备的打印工作。

为了配置简易打印，你需要确保所有的本地连接打印设备都有逻辑打印机，并在客户端工作组配置为使用简易打印驱动程序。所有运行远程桌面连接6.1或更高版本以及.NET Framework 3 SP1的所有Windows XP SP3、Vista和Windows 7都支持简易打印功能。

只要你已经在工作组级别配置好本地连接设备，最好就是确保只有使用TS Easy Print的打印机才能够被重新定向到终端服务器，并应设置为默认打印机。想要实现这一点，可以创建一个组策略对象并浏览到Computer Configuration Administrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerPrinter Redirection，启用Redirect only the default client printer(仅对默认客户端打印机进行重新定向)选项。

限制用户帐户

当你雇佣一个人为你耕地时，你只需要把拖拉机的钥匙给这个人即可，而不是给他所有的钥匙，避免发生物品丢失事故。同样的道理，我们必须记住，当用户连接到服务器或者直接在服务器工作时，他们有可能接触他们并不需要的资源，为了提高终端服务器环境的安全性，我们必须限制这种现象。这不仅可以防止用户的身份凭证被破坏，还可以防止合法用户的非法意图，我们可以做的事情包括以下：