(3)用鼠標(biāo)右鍵單擊[端口]����,從快捷菜單中選擇[屬性)����,出現(xiàn)如圖4.39所示的[端口屬性]對話框����,顯示現(xiàn)有設(shè)備列表。
(4)從中選擇撥號設(shè)備�,然后單擊[配置]按鈕���。
(5)出現(xiàn)如圖4.40所示的對話框。要啟用遠(yuǎn)程訪問�,可選中[遠(yuǎn)程訪問連接(僅入站)]復(fù)選框。這樣該設(shè)備可接受遠(yuǎn)程用戶的撥入�。要啟用請求撥號路由,可選中[請求撥號路由選擇連接(入站和出站)]復(fù)選框�,這樣該設(shè)備可用于建立路由連接。
(6)可根據(jù)需要在[此設(shè)備的電話號碼]輸入框中���,輸入端口的電話號碼��。
這里的端口電話號碼只有在特殊情況下才需設(shè)置���。當(dāng)啟用了BAP的遠(yuǎn)程客戶機(jī)要請求另一個連接時���,遠(yuǎn)程訪問服務(wù)器要回送一條消息,該消息包含的新連接的電話號碼即是這里的端口電話號碼���。另外����,遠(yuǎn)程訪問策略的"Called-Station-ld"屬性指的也是端口電話號碼�����。當(dāng)使用"僅限制撥入到此號碼"這一遠(yuǎn)程訪問策略配置文件的撥入限制����,并且電話線和已安裝的電話設(shè)備不支持"呼叫的線路標(biāo)識(CLID)"時�����,也會在端口上設(shè)置電話號碼���。
(7)設(shè)置完畢���。單擊[確定]按鈕�。
啟用遠(yuǎn)程訪問服務(wù)器
打開[路由和遠(yuǎn)程訪問服務(wù)]控制臺���,在目錄樹中選擇相應(yīng)的服務(wù)器�����,單擊鼠標(biāo)右鍵��,從彈出的快捷菜單中選擇[屬性]打開屬性設(shè)置對話框�,切換到[常規(guī)]選項卡���,確認(rèn)選中[遠(yuǎn)程訪問服務(wù)器]復(fù)選框�����,這樣該服務(wù)器就提供遠(yuǎn)程訪問服務(wù)功能��。
設(shè)置身份驗證和記賬功能
身份驗證是遠(yuǎn)程訪問安全的重要措施���。遠(yuǎn)程訪問服務(wù)器使用驗證協(xié)議來核實遠(yuǎn)程用戶的身份。Windows2000支持用于本地的Windows身份驗證和用于遠(yuǎn)程集中驗證的RADIUS驗證�。也支持無身份驗證的訪問���。
當(dāng)啟用Windows作為記賬提供程序時,Windows2000遠(yuǎn)程訪問服務(wù)器也支持本地記錄遠(yuǎn)程訪問連接的身份驗證和記賬信息��。即日志記錄�����。
身份驗證(Authentication)和授權(quán)(Authoring)是兩個不同的概念�����。身份驗證是對試圖建立連接的用戶的身份憑證進(jìn)行驗證����,在驗證的過程中���,用戶使用特定的身份驗證協(xié)議將身份憑證從客戶端發(fā)送到服務(wù)器端�,由服務(wù)器進(jìn)行核對����。而授權(quán)用于確定用戶是否有訪問某種資源的權(quán)限,只有身份驗證通過后��,才能進(jìn)行授權(quán),以決定是否允許該用戶建立連接����。如果使用Windows身份驗證,服務(wù)器使用Windows2000的安全特性來驗證用戶身份����,用戶賬戶的撥入屬性和遠(yuǎn)程訪問政策用于授權(quán)建立連接。
1.選擇身份驗證和記賬提供程序
打開[路由和遠(yuǎn)程訪問服務(wù)]控制臺��,在目錄樹中選擇相應(yīng)的服務(wù)器�,單擊鼠標(biāo)右鍵,從彈出的快捷菜單中選擇[屬性]�,打開屬性設(shè)置對話框,切換到[安全]選項卡�����,如圖4.37所示�����,選擇身份驗證和計賬提供程序���。
驗證提供程序;設(shè)置是由Windows身份驗證還是RADIUS服務(wù)器來驗證客戶機(jī)的賬號名稱和密碼����。除非建立了RADIUS服務(wù)器,否則采用默認(rèn)的[Wundows身份驗證]�,由遠(yuǎn)程訪問服務(wù)器本身來處理。
記賬提供程序:設(shè)置連接記錄日志保存的地方���。選擇默認(rèn)的[Windows記賬]�����,記錄保存在遠(yuǎn)程訪問服務(wù)器上;選擇[RADIUS記賬]�,則記錄保存在RADIUS服務(wù)器上;還可選擇[<無>]���,不保存連接記錄日志����。
2.設(shè)置身份驗證方法
這里以Windows身份驗證為例��,進(jìn)一步設(shè)置相應(yīng)的驗證方法����。單擊[身份驗證方法]��,打開如圖4.42所示的對話框���。身份驗證方法一般使用在連接建立過程中用于協(xié)商的一種身份驗證協(xié)議,各種身份驗證方法比較見表4.1���。
關(guān)于身份驗證方法�����,再補(bǔ)充說明幾點(diǎn)�����。
可以同時選中多種驗證方法�,應(yīng)盡可能禁用安全級別低的驗證方法���,以提高安全性����。在選擇身份驗證方法的時候,要注意服務(wù)器端和客戶端都要支持�。
PAP、SPAP�����、CHAP����、MS-CHAP和MS-CHAP V2都是標(biāo)準(zhǔn)身份驗證協(xié)議,EAP是擴(kuò)展的身份驗證協(xié)議��,可以自定義驗證方法�����。
如果使用MS-CHAP作為身份驗證協(xié)議��,則可以使用Microsoft點(diǎn)對點(diǎn)加密協(xié)議(MPPE)來加密在PPP或PPTP連接上發(fā)送的數(shù)據(jù)����。
EAP允許將新的身份驗證方法用于遠(yuǎn)程訪問。對基于智能卡的安全部署尤其重要���,允許其他身份驗證模塊插入Windows2000遠(yuǎn)程訪問PPP 實現(xiàn)的接口���。Windows2000支持EAP-MD5 CHAP、EAP-TLS(用于智能卡和基于證書的身份驗證)����。以及EAP-RADIUS(將EAP消息傳送到RADIUS服務(wù)器)。
如果要使用智能卡作為遠(yuǎn)程身份驗證�,則必須使用EAP-TLS身份驗證方法。EAP-TLS消息交換�����,在遠(yuǎn)程訪問客戶機(jī)和身份驗證者之間���,提供了交互的身份驗證����、協(xié)商加密方法以及安全私匙交換��。EAP-TLS提供了功能最強(qiáng)大的身份驗證和密匙交換方法����。使用帶智能卡的EAP-TLS是目前最強(qiáng)大的身份驗證方法����。
當(dāng)遠(yuǎn)程訪問客戶機(jī)所配置的身份驗證協(xié)議與遠(yuǎn)程訪問服務(wù)器上配置的身份驗證協(xié)議不匹配時���,Windows2000遠(yuǎn)程訪問客戶機(jī)會出現(xiàn)無身份驗證的訪問�。
在默認(rèn)情況下���,Windows2000 MS-CHAP v1支持LAN Manager身份驗證���。如果要禁止將使用MS-CHAP v1的LAN Manager身份驗證用于早期的Microsoft操作系統(tǒng)(如WindowsNT3.5x和Windows95),就必須在身份驗證服務(wù)器上將以下注冊表值設(shè)置為0�。
HKEV_OCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllow LW Authentication.
