聚焦Windows Server 2008终端服务安全问题

核心提示： 对终端用户使用特定的帐户用户在本地使用某些应用程序，然后进入终端服务器以访问其他应用程序，聚焦Windows Server 2008终端服务安全问题(5)，这种现象并不少见，从管理角度来看，用户不仅能够复制数据到终端服务器，而且数据很可能包含恶意代码，用户使用相同的用户帐户登录本地和终端设

对终端用户使用特定的帐户

用户在本地使用某些应用程序，然后进入终端服务器以访问其他应用程序，这种现象并不少见。从管理角度来看，用户使用相同的用户帐户登录本地和终端设备是很便于管理，但是从安全角度来看，这也很容易让盗取了访问多个应用程序凭证的攻击者继续攻击其他应用程序。因此，必须为终端服务器访问创建单独的用户帐户，并限制为仅能访问必要的应用程序，这样将大大减小攻击者大范围攻击的威胁。

使用软件限制政策

软件限制政策(Software Restriction Policies)毫无疑问的属于新的发展趋势，但是其中却存在很大不足，软件现在政策可以配置为允许或者拒绝使用某些应用程序，这在公共计算机或者kiosk环境很常用，在终端服务器环境中也很多。

检测用户对终端服务器的访问

默认情况下，只有终端服务器远程桌面用户组(和域/本地管理员)的成员才能够登录到终端服务器，我们强烈建议你定期对这些组成员进行记录和审计，如果用户不再需要登录到终端服务器，那么就可以将其从远程桌面用户组除名。

使用组策略配置其他安装政策

可以通过组策略为终端服务器环境配置很多安全增强功能，以下是几个常见的：

1. 将终端服务用户限制到单个远程会话

在大多数情况下，单个用户没有必要启动终端服务器上的多个会话，如果允许他们启用多个会话可能会使终端服务器环境受到拒绝服务攻击(当用户身份凭证被攻击者盗取时)。可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerConnections进行配置。

2. 不允许驱动器重新定向

除非有特殊需要，允许用户访问来自终端服务器会话的本地驱动器都可能带来非常不安全的通信渠道。有了这种功能，用户不仅能够复制数据到终端服务器，而且数据很可能包含恶意代码，并有可能被终端服务器执行。