在Windows Server 2008的終端服務(wù)(Terminal Services)中最大的亮點(diǎn)就是整體安全性的提高，作為管理員和用戶最常使用的遠(yuǎn)程訪問服務(wù)器之一，這種安全性的提高也并不讓人意外，并且非常受到大家的歡迎。在本文中我們將討論怎樣做才能確保你的終端服務(wù)器(Terminal Server)環(huán)境更加安全。

使用雙重因素驗(yàn)證

當(dāng)我們在考慮網(wǎng)絡(luò)安全時，我們有必要進(jìn)行雙重因素驗(yàn)證。

目前主要有集中不同形式的雙重因素驗(yàn)證方式，不過最常用的是終端服務(wù)所支持的智能卡(Smart Card)。在使用智能卡時，用戶不僅需要提供有效的登錄憑證，而且他們必須能夠提供智能卡連接到他們用于作為遠(yuǎn)程終端的設(shè)備。

為了獲取智能卡驗(yàn)證，你必須創(chuàng)建一個能夠運(yùn)用到終端服務(wù)器的組策略對象(Group Policy Object)。在組策略對象中，瀏覽Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options，并啟用Interactive Logon: Require Smart Card設(shè)置。此外，你將需要啟用智能卡重新定位到終端服務(wù)器，可以通過在用戶工作組上的遠(yuǎn)程桌面連接客戶端的本地資源選項(xiàng)中，勾選智能卡選項(xiàng)。

為所有客戶端執(zhí)行網(wǎng)絡(luò)級別的身份驗(yàn)證

在過去，在服務(wù)器上部署終端服務(wù)驗(yàn)證是通過連接服務(wù)器上的會話(session)然后在Windows Server登錄屏幕中輸入登錄憑證。這聽起來似乎非常麻煩，但是從安全的角度來看，能夠啟動session登錄屏幕可能會暴露關(guān)于網(wǎng)絡(luò)的信息(域名，計(jì)算機(jī)名稱等)或者可能讓服務(wù)器受到拒絕服務(wù)攻擊，這種攻擊主要來自擁有服務(wù)器公用IP地址的人。

網(wǎng)絡(luò)級身份驗(yàn)證(NLA)是遠(yuǎn)程桌面連接客戶端(Remote Desktop Connection Client)6.0版本中新加的功能，該功能可以在向用戶顯示W(wǎng)indows Server登錄界面之前允許用戶輸入他們的登錄憑證。Windows Server 2008使我們能夠利用這項(xiàng)功能并要求所有連接客戶端使用該功能。

要想使用NLA，你必須使用Windows 2008 Server，并且你的連接客戶端必須能夠支持CredSSP(Windows XP SP3、Windows Vista、 Windows 7)以及運(yùn)行Remote Desktop Connection 6.0或者更高版本的遠(yuǎn)程桌面連接。你同樣也可以配置終端服務(wù)器，要求其客戶端在幾個不同位置使用NLA：

在最初的終端服務(wù)角色安裝過程中，當(dāng)終端服務(wù)器屏幕顯示出指定驗(yàn)證方法時，選擇Allow connections only from computers running Remote Desktop with Network Level Authentication(僅允許運(yùn)行網(wǎng)絡(luò)級身份驗(yàn)證的遠(yuǎn)程桌面的計(jì)算機(jī)發(fā)送的連接)選項(xiàng)。

在終端服務(wù)配置MMC管理單元中，右鍵單擊你的客戶端使用的終端服務(wù)器連接，然后選擇屬性，選擇Allow connections only from computers running Remote Desktop with Network Level Authentication選項(xiàng)

創(chuàng)建一個組策略對象，查看Computer Configuration/Administrative Templates/Windows Components/Terminal Services/Terminal Server/Security位置，啟用Require user authentication for remote connections by using Network Level Authentication(要求使用網(wǎng)絡(luò)級別的身份驗(yàn)證進(jìn)行遠(yuǎn)程連接的用戶驗(yàn)證)設(shè)置。