遠(yuǎn)程桌面安全全解(上)

張青 2006-08-28

展開全文

遠(yuǎn)程桌面安全全解(上)

從windows2000 server版本開始微軟就將一個(gè)名為“遠(yuǎn)程桌面”的程序集成到操作系統(tǒng)中，通過(guò)這個(gè)“遠(yuǎn)程桌面”網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)的另一端輕松的控制公司的服務(wù)器，在上面進(jìn)行操作，刪除程序，運(yùn)行命令和在本地計(jì)算機(jī)一樣。因此“遠(yuǎn)程桌面”功能極大的方便了網(wǎng)絡(luò)管理員的工作，在推出以后受到了越來(lái)越多網(wǎng)管的青睞。然而隨著網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)的安全性越來(lái)越受到企業(yè)的重視，很多網(wǎng)管發(fā)現(xiàn)使用windows的遠(yuǎn)程桌面功能操作服務(wù)器有一定的安全隱患，也就是說(shuō)數(shù)據(jù)傳輸?shù)陌踩?jí)不夠高，雖然傳輸信息進(jìn)行了一定的加密，但黑客高手還是很容易將其還原成本來(lái)信息的。正因?yàn)檫h(yuǎn)程桌面在安全性上的不足使得一些網(wǎng)絡(luò)管理員開始尋求其他遠(yuǎn)程控制工具，例如remote admin,pc any where等。
微軟公司非?？粗羞h(yuǎn)程控制軟件的市場(chǎng)。為了提高遠(yuǎn)程桌面的安全級(jí)別，保證數(shù)據(jù)不被黑客竊取，在Windows2003的最新補(bǔ)丁包SP1中添加了一個(gè)安全認(rèn)證方式的遠(yuǎn)程桌面功能。通過(guò)這個(gè)功能我們可以使用SSL加密信息來(lái)傳輸控制遠(yuǎn)程服務(wù)器的數(shù)據(jù)，從而彌補(bǔ)了遠(yuǎn)程桌面功能本來(lái)的安全缺陷。
提示：如果你使用的是windows2003，但是沒(méi)有安裝最新的SP1補(bǔ)丁的話還是不能夠使用SSL加密的遠(yuǎn)程桌面認(rèn)證方式。因此建議各個(gè)公司馬上將服務(wù)器升級(jí)到windows2003+SP1。
一、危機(jī)四伏親手破解連接信息：
究竟沒(méi)有使用SSL加密傳輸信息的遠(yuǎn)程桌面認(rèn)證方式有多危險(xiǎn)，今天我們就跟隨高級(jí)網(wǎng)絡(luò)工程師一起來(lái)窺探個(gè)究竟。
實(shí)驗(yàn)環(huán)境：
單位服務(wù)器windows2000server版+SP4補(bǔ)丁包，網(wǎng)絡(luò)狀況是光纖10M出口。家中計(jì)算機(jī)為windows XP pro版+SP2補(bǔ)丁包，網(wǎng)絡(luò)狀況是北京網(wǎng)通ADSL 512KB。家中使用XP自帶的沒(méi)有包含SSL認(rèn)證的遠(yuǎn)程桌面連接功能控制服務(wù)器。
破解過(guò)程：
第一步：在家中計(jì)算機(jī)中安裝sniffer數(shù)據(jù)包分析工具，選擇網(wǎng)卡為本地網(wǎng)卡。（如圖1）

圖1 點(diǎn)擊看大圖

提示：其實(shí)將sniffer工具安裝在與家中計(jì)算機(jī)處于同一個(gè)子網(wǎng)中的計(jì)算機(jī)進(jìn)行監(jiān)控也是沒(méi)有任何問(wèn)題的，他同樣可以監(jiān)測(cè)到下面提到的數(shù)據(jù)信息。
第二步：通過(guò)sniffer菜單中的“capture->start”來(lái)啟動(dòng)監(jiān)測(cè)功能，當(dāng)然直接點(diǎn)快捷按鈕的開始小箭頭也是一樣的。
第三步：這時(shí)候啟動(dòng)XP的遠(yuǎn)程桌面連接程序，訪問(wèn)公司的服務(wù)器。
第四步：登錄到服務(wù)器后輸入正確的用戶名和密碼進(jìn)入桌面，然后退出。
第五步：完成登錄服務(wù)器的操作后回到本地計(jì)算機(jī)的sniffer程序，點(diǎn)菜單的“capture->stop and display”來(lái)停止監(jiān)測(cè)并顯示結(jié)果。（如圖2）

圖2 點(diǎn)擊看大圖

第六步：在顯示結(jié)果窗口中點(diǎn)左邊的“objects”標(biāo)簽，如果你是通過(guò)寬帶路由器多臺(tái)計(jì)算機(jī)共享上網(wǎng)的話就會(huì)在“objects”窗口中看到我們要訪問(wèn)服務(wù)器的IP地址了，當(dāng)然對(duì)于那些只有一臺(tái)計(jì)算機(jī)并通過(guò)ADSL貓上網(wǎng)的朋友，由于ADLS貓充當(dāng)了IP地址轉(zhuǎn)換和過(guò)濾的工作，所以只會(huì)在“objects”窗口看到本地網(wǎng)卡的信息。選中本地網(wǎng)卡或服務(wù)器的IP地址然后點(diǎn)下方的“decode”標(biāo)簽進(jìn)行數(shù)據(jù)包分析。（如圖3）

圖3 點(diǎn)擊看大圖

第七步：在“DECODE”標(biāo)簽中我們就可以對(duì)監(jiān)測(cè)到的數(shù)據(jù)包進(jìn)行分析了。我們從最上方開始分析目的地地址。在第23個(gè)數(shù)據(jù)包時(shí)就會(huì)看到服務(wù)器的IP地址，這些數(shù)據(jù)包就是我們要仔細(xì)分析的。（如圖4）

圖4 點(diǎn)擊看大圖

第八步：繼續(xù)往下分析到第26個(gè)數(shù)據(jù)包時(shí)就從最下方的數(shù)據(jù)信息中可以清晰的看到登錄服務(wù)器時(shí)所輸入的用戶名——“softer”了。（如圖5）

圖5 點(diǎn)擊看大圖

第九步：在分析到第28和29個(gè)數(shù)據(jù)包時(shí)就會(huì)在數(shù)據(jù)信息處看到經(jīng)過(guò)加密的密碼信息了。（如圖6）雖然我們無(wú)法辯識(shí)但黑客可以根據(jù)這些密文進(jìn)行反編譯。編譯過(guò)程比較長(zhǎng)，類似于窮舉法。（如圖7）

圖6 點(diǎn)擊看大圖

圖7 點(diǎn)擊看大圖

雖然遠(yuǎn)程桌面連接傳輸信息時(shí)不同于FTP與telnet那樣使用明文傳輸，但是用戶名的明文傳輸與密碼的簡(jiǎn)單加密還是存在著很大的安全隱患的，數(shù)據(jù)包很容易被黑客偷窺并破解。所以我們要將遠(yuǎn)程桌面安全進(jìn)行到底。

二、銅墻鐵壁使用證書加密認(rèn)證：

首先要將服務(wù)器升級(jí)到最新版本windows2003，然后還需要通過(guò)windows update或網(wǎng)站將service packet 1補(bǔ)丁包安裝。因?yàn)橹挥邪惭b了SP1的Windows2003才具備通過(guò)SSL加密的遠(yuǎn)程桌面功能。以下所有操作都是對(duì)服務(wù)器而言的，只有服務(wù)器經(jīng)過(guò)設(shè)置容許支持SSL加密認(rèn)證，客戶端才可以通過(guò)遠(yuǎn)程桌面訪問(wèn)程序正常連接。
1.安裝證書服務(wù)：
第一步：默認(rèn)情況下windows2003沒(méi)有安裝證書服務(wù)，我們通過(guò)控制面板的添加/刪除windows組件來(lái)安裝“證書服務(wù)”。（如圖8）

圖8 點(diǎn)擊看大圖

第二步：在CA證書類型中選擇“獨(dú)立根CA”，然后點(diǎn)“下一步”繼續(xù)。（如圖9）

圖9 點(diǎn)擊看大圖

第三步：在CA識(shí)別信息窗口中為安裝的CA起一個(gè)公用名稱——softer，可分辨名稱后綴處空白不填寫，有效期限保持默認(rèn)5年即可。（如圖10）

圖10 點(diǎn)擊看大圖

第四步：在證書數(shù)據(jù)庫(kù)設(shè)置窗口我們保持默認(rèn)即可，因?yàn)橹挥斜ＷC默認(rèn)目錄（windows\system32\certlog）系統(tǒng)才會(huì)根據(jù)證書類型自動(dòng)分類和調(diào)用。點(diǎn)“下一步”后繼續(xù)。（如圖11）

圖11 點(diǎn)擊看大圖

第五步：配置好安裝證書所需要的參數(shù)后系統(tǒng)就開始安裝該組件，當(dāng)然在安裝過(guò)程中會(huì)提示要求插入WINDOWS2003系統(tǒng)光盤。（如圖12）

圖12 點(diǎn)擊看大圖

第六步：插入光盤找到系統(tǒng)文件后繼續(xù)安裝，在安裝服務(wù)的最后系統(tǒng)會(huì)提示“要容許證書服務(wù)需要啟用IIS的ASP功能”，我們選擇“是”來(lái)啟用ASP。（如圖13）

圖13 點(diǎn)擊看大圖

第七步：完成CA證書服務(wù)的windows組件安裝工作。（如圖14）

圖14 點(diǎn)擊看大圖

提示：如果windows2003沒(méi)有安裝IIS組件的話還需要按照上面介紹的方法將IIS組件也安裝。

2.設(shè)置證書服務(wù)參數(shù)：

默認(rèn)情況下證書類型不是我們本次操作所需要的，所以還需要對(duì)其進(jìn)行修改設(shè)置。
第一步：通過(guò)任務(wù)欄的“開始->程序->管理工具->證書頒發(fā)機(jī)構(gòu)”來(lái)打開證書設(shè)置窗口。（如圖15）

圖15 點(diǎn)擊看大圖

第二步：如果證書頒發(fā)機(jī)構(gòu)中沒(méi)有顯示出任何計(jì)算機(jī)則我們需要通過(guò)“文件”菜單中的設(shè)置來(lái)加載本地計(jì)算機(jī)的證書服務(wù)。（如圖16）

圖16 點(diǎn)擊看大圖

第三步：在計(jì)算機(jī)softer上點(diǎn)鼠標(biāo)右鍵選擇“屬性”，然后點(diǎn)“策略?？?#8221;標(biāo)簽，在策略?？鞓?biāo)簽下還有一個(gè)“屬性”按鈕。（如圖17）

圖17

第四步：點(diǎn)屬性按鈕后在設(shè)置請(qǐng)求處理窗口中將默認(rèn)的設(shè)置修改為“如果可以的話，按照證書模板中的設(shè)置。否則，將自動(dòng)頒發(fā)證書”。（如圖18）

圖18

3.申請(qǐng)證書
IIS啟動(dòng)后我們就可以通過(guò)網(wǎng)頁(yè)來(lái)申請(qǐng)證書了。
第一步：打開IE瀏覽器，在地址欄處輸入http://ip/certsrv/。例如服務(wù)器地址為10.91.30.45，則輸入http://10.91.30.45/certsrv，如果IIS工作正常，證書服務(wù)安裝正確的話會(huì)出現(xiàn)microsoft證書服務(wù)界面。（如圖19）

圖19 點(diǎn)擊看大圖

第二步：我們?cè)谠摻缑嬷羞x擇“申請(qǐng)一個(gè)證書”。
第三步：在申請(qǐng)證書界面選擇“高級(jí)證書申請(qǐng)”。（如圖20）

圖20 點(diǎn)擊看大圖

第四步：在高級(jí)證書申請(qǐng)界面選擇“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”。（如圖21）

圖21 點(diǎn)擊看大圖

第五步：在高級(jí)證書申請(qǐng)?zhí)顚懡缑嫘枰覀冃薷牡牡胤奖容^多，首先輸入姓名，這個(gè)姓名要填寫服務(wù)器的IP地址。
提示：如果高級(jí)證書姓名填寫的是其他信息，那么在配置SSL加密認(rèn)證時(shí)會(huì)出現(xiàn)配置信息與服務(wù)器名不符合的錯(cuò)誤。所以務(wù)必填寫服務(wù)器的IP地址。
第六步：電子郵件和公司，部門，地區(qū)等信息隨意填寫。
第七步：需要的證書類型選擇“服務(wù)器身份驗(yàn)證證書”。
第八步：密鑰選項(xiàng)設(shè)置為“創(chuàng)建新密鑰集”。
第九步：密鑰用戶設(shè)置為“交換”。
第十步：將最下方的“標(biāo)記密鑰為可導(dǎo)出”與“將證書保存在本地計(jì)算機(jī)存儲(chǔ)”前打?qū)?。至此高?jí)證書申請(qǐng)參數(shù)填寫完畢。（如圖22）

圖22 點(diǎn)擊看大圖

第十一步：點(diǎn)提交申請(qǐng)后會(huì)出現(xiàn)“潛在的腳本沖突”提示，我們不用理會(huì)直接選擇“是”即可。（如圖23）

圖23

第十二步：提交申請(qǐng)完畢會(huì)出現(xiàn)證書掛起的提示，系統(tǒng)會(huì)提示你的申請(qǐng)信息已經(jīng)掛起，等待管理員頒發(fā)，并還會(huì)顯示出申請(qǐng)ID的序號(hào)。（如圖24）

圖24 點(diǎn)擊看大圖

至此我們就完成了證書的申請(qǐng)工作，接下來(lái)還需要對(duì)申請(qǐng)的證書進(jìn)行頒發(fā)，只有頒發(fā)了我們才可以開始使用。
4.頒發(fā)證書：

下面為大家介紹如何頒發(fā)剛剛申請(qǐng)的證書。
第一步：通過(guò)任務(wù)欄的“開始->程序->管理工具->證書頒發(fā)機(jī)構(gòu)”來(lái)打開證書設(shè)置窗口。
第二步：在本地計(jì)算機(jī)softer下的“掛起的申請(qǐng)”處會(huì)看到有一個(gè)申請(qǐng)，ID號(hào)為2，這個(gè)就是剛才的申請(qǐng)。
第三步：在該申請(qǐng)上點(diǎn)鼠標(biāo)右鍵選擇“所有任務(wù)->頒發(fā)”，頒發(fā)后我們申請(qǐng)的證書就可以使用了。（如圖25）

圖25 點(diǎn)擊看大圖

5.安裝證書：
證書已經(jīng)通過(guò)服務(wù)器的審批，下面就要在服務(wù)器上安裝我們申請(qǐng)的證書。只有擁有了證書才能讓我們遠(yuǎn)程訪問(wèn)中傳輸?shù)臄?shù)據(jù)更加安全。
第一步：打開IE瀏覽器，在地址欄處輸入http://ip/certsrv/。例如服務(wù)器地址為10.91.30.45，則輸入http://10.91.30.45/certsrv，如果IIS工作正常，證書服務(wù)安裝正確的話會(huì)出現(xiàn)microsoft證書服務(wù)界面。
第二步：選擇“查看掛起的證書申請(qǐng)狀態(tài)”，在這里會(huì)看到我們?cè)瓉?lái)提交的那個(gè)“服務(wù)器身份驗(yàn)證證書”的蹤影。（如圖26）

圖26 點(diǎn)擊看大圖

第三步：點(diǎn)該“服務(wù)器身份驗(yàn)證證書”后出現(xiàn)證書已頒發(fā)的提示，我們直接點(diǎn)“安裝此證書”。（如圖27）

圖27 點(diǎn)擊看大圖

第四步：系統(tǒng)會(huì)彈出“潛在的腳本沖突”提示，我們不用理睬繼續(xù)點(diǎn)“是”即可。系統(tǒng)會(huì)自動(dòng)將該證書安裝在服務(wù)器上。（如圖28）

圖28 點(diǎn)擊看大圖

第五步：安裝完畢系統(tǒng)會(huì)以網(wǎng)頁(yè)的形式將“證書已安裝信息”反饋給用戶。（如圖29）

29 點(diǎn)擊看大圖

總結(jié)：本篇文章的講解了遠(yuǎn)程桌面連接自身的安全隱患并且為大家介紹了“將遠(yuǎn)程桌面安全進(jìn)行到底”中的“服務(wù)安裝”，“設(shè)置證書”，“申請(qǐng)證書”，“頒發(fā)證書”以及“安裝證書”。當(dāng)然“將遠(yuǎn)程桌面安全進(jìn)行到底”涉及的內(nèi)容比較多，在下半部分中筆者將為大家介紹“服務(wù)器上遠(yuǎn)程桌面連接的加密設(shè)置”，“客戶機(jī)的具有加密功能遠(yuǎn)程桌面功能的安裝”以及“客戶機(jī)證書的安裝“等操作。

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來(lái)自：張青 > 《我的圖書館》

舉報(bào)/認(rèn)領(lǐng)