基于智能卡的Windows終端遠程維護設計

2018-03-23 19:42:14張忠

數(shù)字通信世界 2018年6期

張忠

（中核核電運行管理有限公司，海鹽 314300）

1 引言

微軟活動目錄（Active Directory）（下稱AD域）是面向Windows Standard Server、Windows Enterprise Server的目錄服務，活動目錄服務是Windows 2000以后操作系統(tǒng)平臺的中心組件之一。大型企業(yè)由于終端數(shù)量巨大，一般都采用基于AD域方式部署內(nèi)部網(wǎng)絡，以減輕日常維護工作。

2 技術背景

2.1 RPD遠程桌面

微軟遠程桌面（Microsoft Remote Desktop）連接組件是從Windows 2000 Server即開始由微軟公司提供，該組件開啟之后就可以在網(wǎng)絡的另一端控制這臺計算機，就好像是直接在該計算機上操作一樣。這就是遠程桌面的最大功能，通過該功能網(wǎng)絡管理員可以在家中安全的控制單位的服務器，而且由于該功能是系統(tǒng)內(nèi)置的，所以比其他第三方遠程控制工具使用更方便更靈活。

2.2 智能卡登錄

從Windows 2000開始，微軟桌面操作系統(tǒng)提供了基于智能卡認證的安全登錄支持，即Windows智能卡登錄。Windows操作系統(tǒng)的域認證采用kerberos協(xié)議，kerberos協(xié)議支持共享口令和數(shù)字證書二種方式，基于域賬戶的域認證采用共享口令，而基于智能卡登錄的域認證采用數(shù)字證書方式，有更高的安全性。智能卡登錄是微軟操作系統(tǒng)的原生機制，包括XP、WIN7、WIN10等操作系統(tǒng)都支持，根據(jù)微軟智能卡登錄規(guī)范，智能卡設備需要支持PC/SC接口，市面上流行的智能卡設備一般都支持，安裝相應的驅(qū)動后即可支持智能卡登錄，無需額外安裝第三方軟件。

3 風險分析

通過遠程桌面對故障終端進行遠程維護有二種情形，大致登錄步驟如下：

3.1 辦公內(nèi)網(wǎng)環(huán)境

（1）運維人員通過個人賬號登錄工作用機。

（2）運維人員從工作用機，通過遠程桌面以管理賬號登錄管理中間機。

（3）運維人員從管理中間機，通過遠程桌面以域管理員賬號登錄故障終端。

3.2 VPN拔入環(huán)境

（1）運維人員通過VPN拔入辦公內(nèi)網(wǎng)。

（2）運維人員通過遠程桌面以管理賬號登錄管理中間機。

（3）運維人員從管理中間機，通過遠程桌面以域管理員賬號登錄故障登錄。

分析上述登錄過程可看出，在遠程維護過程中可能存在的問題有：

（1）需要多次輸入賬號口令，并且在登錄故障終端時還需要輸入域管理員賬號口令，在遠程桌面通訊中存在口令暴露的風險。

（2）運維人員登錄管理中心機時，管理中間機的安全審計日志記錄的僅是管理賬號標識，審計日志的用戶標識和登錄者真實認證身份存在不匹配的問題。

（3）運維人員登錄故障終端時，同時存在審計日志也無法記錄的真實用戶身份標識的問題，而且由于通過管理中間機的跳轉(zhuǎn)，故障終端只能記錄的訪問來源IP地址都是管理中間機，導致事后監(jiān)管審計的困難。

4 解決方案

采用域賬戶方式身份認證的遠程管理導致身份鑒別信息保護及審計信息不準確的問題，原因在于：一是在微軟遠程桌面協(xié)議中，遠程登錄的賬號和口令需要在網(wǎng)絡中傳輸，當前出現(xiàn)中間人攻擊時，就會有口令失竊的風險。二是由于賬號信息和真實身份實體的分離特點，審計日志難于界定真實身份，尤其存在中間管理員的情況下，更難于進行事件責任認定。

為此我們設計基于智能卡的遠程維護解決方案，將遠程登錄的身份認證方式由域賬戶更換為智能卡。智能卡認證為基于非對稱密鑰算法的安全技術，身份實體信息和證書設備為唯一從屬關系，認證過程不存在明文鑒別信息的網(wǎng)絡傳輸，從根本下消除賬戶口令方式認證的安全風險。具體思路及操作步驟如下：

（1）在企業(yè)內(nèi)部部署PKI基礎設施，用于給發(fā)放智能卡證書。

（2）為運維人員發(fā)放和本人身份信息一致的智能卡證書，特別是證書的主題備用名必須是運維人員所對應的域賬戶名稱。

（3）配置用戶策略，將運維人員進行名稱映射，允許將一張智能卡證書映射到多個賬戶，比如中間管理員賬戶、AD域管理員賬戶等。

（4）配置AD域組策略，限制遠程桌面登錄必須采用智能卡方式。

（5）配置AD域組策略，為每個終端分發(fā)智能卡設備驅(qū)動。

按以上步驟配置完成后，運維人員就可以通過智能卡方式遠程訪問其它終端，若不采用智能卡設備，直接通過賬戶方式，則會拒絕登錄。

5 結束語

在大型企業(yè)中，微軟遠程桌面是日常網(wǎng)絡運維經(jīng)常使用的工具，但采用賬戶口令方式對遠程終端進行登錄訪問，存在一定的安全風險。本文對遠程桌面登錄的過程進行剖析，結合《信息安全技術-網(wǎng)絡安全等級保護基礎要求》對終端登錄的安全要求，提出了遠程桌面維護采用智能卡方式代替?zhèn)鹘y(tǒng)的賬戶口令方式的解決方案。基于該方案的遠程桌面管理，可更好滿足企業(yè)網(wǎng)絡在身份鑒別和安全審計的管理要求，保障企業(yè)網(wǎng)絡的健康使用和可控管理。

[1] 俞剛.智能卡-PKI私鑰的安全載體[J].計算機與數(shù)字工程，2008（11）.