安全なリモートデスクトップWeb接続4つの注意点

リモートネットワーク接続は、エンタープライズ情報アプリケーションではより実用的なテクノロジです。 VPN、リモートコントロールツールなど、さまざまな方法で実装できます。ただし、リモートデスクトップWeb接続も最善の方法の1つです。例えば、多くの企業は、企業の情報アプリケーションにおける企業のリモートネットワーク接続においてより実用的な技術となるであろう。 VPN、リモートコントロールツールなど、さまざまな方法で実装できます。ただし、リモートデスクトップWeb接続も最善の方法の1つです。たとえば、多くの企業は、企業のポータル上に企業のイントラネットへのインターフェースを残します。これにより、会社にいない従業員が会社の情報をリアルタイムで把握できるようになり、また必要に応じて関連する内部システムにアクセスできるようになります。

簡単に言うと、リモートデスクトップWeb接続は、特定のコンピュータのターミナルサーバーとの通信を可能にするために企業Webサーバーに接続することによって実現されます。最も重要なことは、クライアントにプラグインをインストールする必要がないということです。これにより、リモートデスクトップWeb接続が多くのネットワーク管理者に普及しています。

ただし、クライアント側で設定は必要ないため、これはリモート接続が企業Webサーバーの肩にかかるセキュリティの低下につながります。したがって、「リモートデスクトップWeb接続」の関連ソフトウェアの中には、高レベルのセキュリティ設定を提供するものがあります。以下では、リモートデスクトップWeb接続のセキュリティ設定を行う方法について説明するために、例としてWindows 2003に付属のIISプラグインを取り上げます。

1.匿名アクセスを許可するかどうか

リモートデスクトップWeb接続のセキュリティを検討する際に考慮する最初の質問は、「匿名アクセスを許可するかどうか」です。ユーザーが "匿名アクセス"を許可されている場合は、[匿名アクセスを有効にする]チェックボックスをオンにします。デフォルトでは、システムはインストール時に匿名ユーザー用のパブリックアカウントを作成しています。もちろん、ユーザーは自分が使用する必要があるアカウントと関連する権限を設定することもできます。匿名ユーザーがアクセスすると、そのユーザー名とパスワードを使用せずにログインし、システムから提供されたデフォルトのユーザーアカウントとパスワードを直接削除できます。

あなたが匿名アカウントのログインを許可しない場合は、このボックスを残すことができます。ただし、「ユーザーアクセスを認証する必要がある」で特定の認証方法を選択する必要があります。

一般に、ウェブサーバーが一般向けのものである場合は、'匿名アクセス&を有効にします。ただし、この内部Webサーバが内部従業員がイントラネットにアクセスするためのチャネルも提供する場合は、この個別のWebページを「ユーザアクセスを認証する必要がある」に設定します。そして、企業のさまざまなセキュリティ要件に従って適切な認証方法を選択してください。

第二に、

マイクロソフト2003サーバーシステムのセキュリティレベルに応じて
適切な認証方法を選択すると、IISプラグインが付属して、3人の主要なアイデンティティを提供します検証方法検証方法が異なると、セキュリティレベルと互換性も異なります。

1つ目は「Windowsドメインサーバーのダイジェスト認証」です。この種類の認証はActive Directoryでサポートされている必要があります。つまり、ドメインユーザー認証方法です。彼は主に平文送信ではなく暗号文送信を使用してネットワークにハッシュを送信します。したがって、そのセキュリティは非常に高いです。さらに、このタイプの認証はファイアウォールの設定による影響を受けないことがよくあります。ダイジェスト認証パーティーはプロキシサーバーと他のファイアウォールを通過するため、プロキシサーバーと他のファイアウォールと連携し、Web分散オーサリングおよびバージョン管理ディレクトリで利用できます。企業がドメイン環境を実装している場合、これが認証の推奨方法です。

2番目は「基本認証」方式です。この方法と最初の認証方法の最大の違いは、前者がネットワーク内でハッシュ値を送信することです。後者は、ネットワーク内のパスワードを平文で送信します。この種類の認証には、長所と短所があります。利点は、HTTP仕様に完全に準拠しているため、ほとんどのブラウザでサポートされていることです。 MicrosoftのIEブラウザがそれをサポートするだけでなく、Linuxオペレーティングプラットフォーム上のMazidaブラウザもまた非常に互換性があります。欠点は、そのアカウントとパスワードがプレーンテキストで送信されるため、セキュリティが保証されないことです。

3番目は "NETPassport認証"オプションです。このタイプの認証もオペレーティングシステムに基づいておらず、今日市場に出ているほとんどのブラウザと互換性があります。今日では、多くのポータルが「ワンストップアクセス」を提供しています。これは、ネットワークパスを介してブログ、Eメール、オンラインストアなどにアクセスできることを意味します。 NETPassportを使用すると、サイト管理者は有効になっているすべてのNETPassport Webサイトおよびサービスへのアクセスを保護するために、別々のユーザー名とパスワードを作成できます。この認証方法では、専用の認証システムをホストして維持するのではなく、中央サーバーを使用してユーザーを認証します。この場合、彼は特定のアプリケーションから切り離され、訪問者に「ワンストップアカウント」を提供します。

3つの認証方式では、著者の傾向と第三。

一方で、' NETPassport認証'に関係なく、オペレーティングシステムのオプションと制約のブラウザのバージョン。 「Windowsドメインサーバーのサマリ認証」と同様に、Active Directoryアカウントで機能する必要があります。この制限は比較的大きいです。ドメイン環境が必要なだけでなく、マイクロソフトのIEブラウザも必要です。平均的なユーザーがこれら両方の要件を同時に満たすことは困難です。したがって、セキュリティは比較的高いですが、それでも幅広いアプリケーションを入手することはできません。

次に、「基本認証」方式の方が優れていますが、そのユーザー名とパスワードが平文で送信されるため、セキュリティが大幅に低下します。したがって、それは最善の選択ではありません。
ログインザ' NETPassport認証'ワンス'アクセスモードだけでなく、優れた互換性がなく、&'を提供します。企業は、電子商取引、OAシステムなどの関連サービスをWebサーバーに統合できます。そうすれば、従業員はさまざまなアプリケーションサービスにアクセスするときに頻繁にアカウントを変更する必要がなくなります。この種の治療はもっと人道的です。

第三に、によって' IPアドレスとドメイン名の制限&'は、フィルタユーザアクセス

私たちは、リモートデスクトップWebアクセスの主要なによって分割することができます2つのカテゴリー1つのタイプは、主に会社が会社にいないときに、企業の内部システムにアクセスするための出発点としてWebサーバーを使用する、一般従業員のアクセスです。もう1つのタイプは、ネットワーク管理者がこの方法で関連アプリケーションサーバーをリモートで管理できることです。

これを行うには、Web接続のセキュリティを強化するために、さまざまなアプリケーションの種類に応じてIPアドレスを制限する必要があります。

IPアドレスなどのネットワーク内にあることができる、ネットワーク管理者のIPアドレスのみを残し、オフに禁止されています。このようにして、従業員がイントラネット上のWeb接続を介して企業の内部アプリケーションシステムにアクセスすることを制限できます。従業員がこれを行う場合、それは「あなたのズボンを降りておならをして、そしてもっとやりなさい」のようなものです。従業員は社内LANを介して直接会社にアクセスできるからです。

したがって、IPアドレスとドメイン名の制限は優れたセキュリティ制御メカニズムです。

第四に、それはMicrosoft自身のIISプラグインでは、データ伝送のセキュリティ

を改善するために、安全なチャネルを使用する必要も安全なチャネルをサポート設定たとえば、[セキュリティ通信]タブでは、リモートデスクトップWeb接続の通信チャネルを安全に設定できます。たとえば、「セキュリティで保護されたチャネルを要求する」オプションを選択し、「128ビット暗号化を要求する」を選択できます。これにより、通信処理における通信路にＳＳＬ通信を利用することができ、そのデータも１２８ビットで暗号化され、ネットワークで送信されるデータは二重保護される。

電子商取引モジュールをポータルに統合している企業など、セキュリティ要件が高い企業には、この「安全なチャネル」を使用することをお勧めします。データを最大限に保護します。