聚焦Windows Server 2008终端服务安全问题

核心提示： 可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerDevice and Resource Redirection进行配置，3.

可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerDevice and Resource Redirection进行配置。

3. 为断开会话设置时间限制

总的来说，让用户在没有完全注销的情况下退出对话并不是件好事，攻击者可能能够控制这个会话，然后获取某些敏感信息，或者获得身份验证到另一个网络应用程序。制止这种情况发生的方法就是，为断开会话设定非常短的时间限制，当时间一到会话就会自动关闭。

可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerSession Time Limits进行配置。

4. 禁用 Microsoft Windows Installer

简而言之，只有系统管理员才能够在终端服务器安装应用程序，在大多数情况下，由于用户不能以管理员身份登录，他们就不能自己安装应用程序。但是，如果某些用户需要这种特权，管理员可以通过禁用Microsoft Windows Installer来限制他们安装某些程序的权限。

可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Installer进行配置。 重要的是，配置此设置为启用，而不是总是允许，这样做能够确保你仍然可以通过组策略向终端服务器发布应用程序，而使用总是允许选项将阻止这种情况发生。

5. 文件夹重新定向

如果我每次登录终端服务器都能在用户本地桌面发现敏感数据或者关键数据，并因此获得1美元的话，那肯定成大富翁了。虽然网络管理员为用户提供了多个公共和个人数据存储位置，有些用户仍然习惯将数据存在他们的桌面上。管理员可以通过将用户桌面重新定向到文件服务器上的合适位置来防止数据丢失事故的发生。