Office教程学习网

　　限制用户帐户

　　当你雇佣一个人为你耕地时，你只需要把拖拉机的钥匙给这个人即可，而不是给他所有的钥匙，避免发生物品丢失事故。同样的道理，我们必须记住，当用户连接到服务器或者直接在服务器工作时，他们有可能接触他们并不需要的资源，为了提高终端服务器环境的安全性，我们必须限制这种现象。这不仅可以防止用户的身份凭证被破坏，还可以防止合法用户的非法意图，我们可以做的事情包括以下：

　　对终端用户使用特定的帐户

　　用户在本地使用某些应用程序，然后进入终端服务器以访问其他应用程序，这种现象并不少见。从管理角度来看，用户使用相同的用户帐户登录本地和终端设备是很便于管理，但是从安全角度来看，这也很容易让盗取了访问多个应用程序凭证的攻击者继续攻击其他应用程序。因此，必须为终端服务器访问创建单独的用户帐户，并限制为仅能访问必要的应用程序，这样将大大减小攻击者大范围攻击的威胁。

　　使用组策略配置其他安装政策

　　可以通过组策略为终端服务器环境配置很多安全增强功能，以下是几个常见的：

　　1. 将终端服务用户限制到单个远程会话

　　在大多数情况下，单个用户没有必要启动终端服务器上的多个会话，如果允许他们启用多个会话可能会使终端服务器环境受到拒绝服务攻击(当用户身份凭证被攻击者盗取时)。可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerConnections进行配置。

　　2. 不允许驱动器重新定向

　　除非有特殊需要，允许用户访问来自终端服务器会话的本地驱动器都可能带来非常不安全的通信渠道。有了这种功能，用户不仅能够复制数据到终端服务器，而且数据很可能包含恶意代码，并有可能被终端服务器执行。

　　可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerDevice and Resource Redirection进行配置。

　　3. 为断开会话设置时间限制

　　总的来说，让用户在没有完全注销的情况下退出对话并不是件好事，攻击者可能能够控制这个会话，然后获取某些敏感信息，或者获得身份验证到另一个网络应用程序。制止这种情况发生的方法就是，为断开会话设定非常短的时间限制，当时间一到会话就会自动关闭。

　　可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsTerminal ServicesTerminal ServerSession Time Limits进行配置。

　　4. 禁用 Microsoft Windows Installer

　　简而言之，只有系统管理员才能够在终端服务器安装应用程序，在大多数情况下，由于用户不能以管理员身份登录，他们就不能自己安装应用程序。但是，如果某些用户需要这种特权，管理员可以通过禁用Microsoft Windows Installer来限制他们安装某些程序的权限。

　　可以对组策略对象内的Computer ConfigurationAdministrative TemplatesWindows ComponentsWindows Installer进行配置。 重要的是，配置此设置为启用，而不是总是允许，这样做能够确保你仍然可以通过组策略向终端服务器发布应用程序，而使用总是允许选项将阻止这种情况发生。

　　5. 文件夹重新定向

　　如果我每次登录终端服务器都能在用户本地桌面发现敏感数据或者关键数据，并因此获得1美元的话，那肯定成大富翁了。虽然网络管理员为用户提供了多个公共和个人数据存储位置，有些用户仍然习惯将数据存在他们的桌面上。管理员可以通过将用户桌面重新定向到文件服务器上的合适位置来防止数据丢失事故的发生。

　　可以对组策略对象内的User ConfigurationWindows SettingsFolder Redirection 来进行配置，用户桌面绝对不是唯一可以重新定向的文件夹，建议查看所有可用的文件夹并将某些文件夹重新定向到服务器。

　　6. 禁止访问控制面板

　　将像使用Microsoft Installer一样，用户不应该拥有防止控制面板的权限，但是，某些用户有管理员权限的话，管理员也可以通过配置设置来限制他们对系统控制面板的访问。

　　可以对组策略对象内的User ConfigurationAdministrative TemplatesControl Panel 来进行配置。

　　使用软件限制政策

　　软件限制政策(Software Restriction Policies)毫无疑问的属于新的发展趋势，但是其中却存在很大不足，软件现在政策可以配置为允许或者拒绝使用某些应用程序，这在公共计算机或者kiosk环境很常用，在终端服务器环境中也很多。

　　检测用户对终端服务器的访问

　　默认情况下，只有终端服务器远程桌面用户组(和域/本地管理员)的成员才能够登录到终端服务器，我们强烈建议你定期对这些组成员进行记录和审计，如果用户不再需要登录到终端服务器，那么就可以将其从远程桌面用户组除名。