聚焦Windows Server 2008终端服务安全问题

核心提示： 可以对组策略对象内的User ConfigurationWindows SettingsFolder Redirection 来进行配置，用户桌面绝对不是唯一可以重新定向的文件夹，聚焦Windows Server 2008终端服务安全问题(7)，建议查看所有可用的文件夹并将某些文件夹重新定

可以对组策略对象内的User ConfigurationWindows SettingsFolder Redirection 来进行配置，用户桌面绝对不是唯一可以重新定向的文件夹，建议查看所有可用的文件夹并将某些文件夹重新定向到服务器。

6. 禁止访问控制面板

将像使用Microsoft Installer一样，用户不应该拥有防止控制面板的权限，但是，某些用户有管理员权限的话，管理员也可以通过配置设置来限制他们对系统控制面板的访问。

可以对组策略对象内的User ConfigurationAdministrative TemplatesControl Panel 来进行配置。

限制用户帐户

当你雇佣一个人为你耕地时，你只需要把拖拉机的钥匙给这个人即可，而不是给他所有的钥匙，避免发生物品丢失事故。同样的道理，我们必须记住，当用户连接到服务器或者直接在服务器工作时，他们有可能接触他们并不需要的资源，为了提高终端服务器环境的安全性，我们必须限制这种现象。这不仅可以防止用户的身份凭证被破坏，还可以防止合法用户的非法意图，我们可以做的事情包括以下：

对终端用户使用特定的帐户

用户在本地使用某些应用程序，然后进入终端服务器以访问其他应用程序，这种现象并不少见。从管理角度来看，用户使用相同的用户帐户登录本地和终端设备是很便于管理，但是从安全角度来看，这也很容易让盗取了访问多个应用程序凭证的攻击者继续攻击其他应用程序。因此，必须为终端服务器访问创建单独的用户帐户，并限制为仅能访问必要的应用程序，这样将大大减小攻击者大范围攻击的威胁。

使用软件限制政策

软件限制政策(Software Restriction Policies)毫无疑问的属于新的发展趋势，但是其中却存在很大不足，软件现在政策可以配置为允许或者拒绝使用某些应用程序，这在公共计算机或者kiosk环境很常用，在终端服务器环境中也很多。