(3)用鼠標(biāo)右鍵單擊[端口]��,從快捷菜單中選擇[屬性)�����,出現(xiàn)如圖4.39所示的[端口屬性]對(duì)話框�����,顯示現(xiàn)有設(shè)備列表��。
(4)從中選擇撥號(hào)設(shè)備�����,然后單擊[配置]按鈕�����。
(5)出現(xiàn)如圖4.40所示的對(duì)話框�����。要啟用遠(yuǎn)程訪問���,可選中[遠(yuǎn)程訪問連接(僅入站)]復(fù)選框��。這樣該設(shè)備可接受遠(yuǎn)程用戶的撥入�����。要啟用請(qǐng)求撥號(hào)路由���,可選中[請(qǐng)求撥號(hào)路由選擇連接(入站和出站)]復(fù)選框,這樣該設(shè)備可用于建立路由連接���。
(6)可根據(jù)需要在[此設(shè)備的電話號(hào)碼]輸入框中�����,輸入端口的電話號(hào)碼�。
這里的端口電話號(hào)碼只有在特殊情況下才需設(shè)置��。當(dāng)啟用了BAP的遠(yuǎn)程客戶機(jī)要請(qǐng)求另一個(gè)連接時(shí)���,遠(yuǎn)程訪問服務(wù)器要回送一條消息����,該消息包含的新連接的電話號(hào)碼即是這里的端口電話號(hào)碼�。另外,遠(yuǎn)程訪問策略的"Called-Station-ld"屬性指的也是端口電話號(hào)碼�����。當(dāng)使用"僅限制撥入到此號(hào)碼"這一遠(yuǎn)程訪問策略配置文件的撥入限制��,并且電話線和已安裝的電話設(shè)備不支持"呼叫的線路標(biāo)識(shí)(CLID)"時(shí)�����,也會(huì)在端口上設(shè)置電話號(hào)碼��。
(7)設(shè)置完畢�。單擊[確定]按鈕。
啟用遠(yuǎn)程訪問服務(wù)器
打開[路由和遠(yuǎn)程訪問服務(wù)]控制臺(tái)���,在目錄樹中選擇相應(yīng)的服務(wù)器��,單擊鼠標(biāo)右鍵����,從彈出的快捷菜單中選擇[屬性]打開屬性設(shè)置對(duì)話框,切換到[常規(guī)]選項(xiàng)卡���,確認(rèn)選中[遠(yuǎn)程訪問服務(wù)器]復(fù)選框�,這樣該服務(wù)器就提供遠(yuǎn)程訪問服務(wù)功能����。
設(shè)置身份驗(yàn)證和記賬功能
身份驗(yàn)證是遠(yuǎn)程訪問安全的重要措施。遠(yuǎn)程訪問服務(wù)器使用驗(yàn)證協(xié)議來核實(shí)遠(yuǎn)程用戶的身份��。Windows2000支持用于本地的Windows身份驗(yàn)證和用于遠(yuǎn)程集中驗(yàn)證的RADIUS驗(yàn)證�。也支持無身份驗(yàn)證的訪問。
當(dāng)啟用Windows作為記賬提供程序時(shí)�����,Windows2000遠(yuǎn)程訪問服務(wù)器也支持本地記錄遠(yuǎn)程訪問連接的身份驗(yàn)證和記賬信息�。即日志記錄。
身份驗(yàn)證(Authentication)和授權(quán)(Authoring)是兩個(gè)不同的概念����。身份驗(yàn)證是對(duì)試圖建立連接的用戶的身份憑證進(jìn)行驗(yàn)證�,在驗(yàn)證的過程中�����,用戶使用特定的身份驗(yàn)證協(xié)議將身份憑證從客戶端發(fā)送到服務(wù)器端�,由服務(wù)器進(jìn)行核對(duì)�。而授權(quán)用于確定用戶是否有訪問某種資源的權(quán)限,只有身份驗(yàn)證通過后�����,才能進(jìn)行授權(quán)��,以決定是否允許該用戶建立連接�����。如果使用Windows身份驗(yàn)證�����,服務(wù)器使用Windows2000的安全特性來驗(yàn)證用戶身份����,用戶賬戶的撥入屬性和遠(yuǎn)程訪問政策用于授權(quán)建立連接��。
1.選擇身份驗(yàn)證和記賬提供程序
打開[路由和遠(yuǎn)程訪問服務(wù)]控制臺(tái)���,在目錄樹中選擇相應(yīng)的服務(wù)器,單擊鼠標(biāo)右鍵�����,從彈出的快捷菜單中選擇[屬性]�����,打開屬性設(shè)置對(duì)話框����,切換到[安全]選項(xiàng)卡,如圖4.37所示���,選擇身份驗(yàn)證和計(jì)賬提供程序�。
驗(yàn)證提供程序;設(shè)置是由Windows身份驗(yàn)證還是RADIUS服務(wù)器來驗(yàn)證客戶機(jī)的賬號(hào)名稱和密碼��。除非建立了RADIUS服務(wù)器���,否則采用默認(rèn)的[Wundows身份驗(yàn)證]���,由遠(yuǎn)程訪問服務(wù)器本身來處理�����。
記賬提供程序:設(shè)置連接記錄日志保存的地方�。選擇默認(rèn)的[Windows記賬]�,記錄保存在遠(yuǎn)程訪問服務(wù)器上;選擇[RADIUS記賬]���,則記錄保存在RADIUS服務(wù)器上;還可選擇[<無>]�����,不保存連接記錄日志����。
2.設(shè)置身份驗(yàn)證方法
這里以Windows身份驗(yàn)證為例����,進(jìn)一步設(shè)置相應(yīng)的驗(yàn)證方法。單擊[身份驗(yàn)證方法]�,打開如圖4.42所示的對(duì)話框。身份驗(yàn)證方法一般使用在連接建立過程中用于協(xié)商的一種身份驗(yàn)證協(xié)議�����,各種身份驗(yàn)證方法比較見表4.1。
關(guān)于身份驗(yàn)證方法�����,再補(bǔ)充說明幾點(diǎn)�����。
可以同時(shí)選中多種驗(yàn)證方法�����,應(yīng)盡可能禁用安全級(jí)別低的驗(yàn)證方法���,以提高安全性��。在選擇身份驗(yàn)證方法的時(shí)候����,要注意服務(wù)器端和客戶端都要支持�����。
PAP、SPAP��、CHAP��、MS-CHAP和MS-CHAP V2都是標(biāo)準(zhǔn)身份驗(yàn)證協(xié)議��,EAP是擴(kuò)展的身份驗(yàn)證協(xié)議��,可以自定義驗(yàn)證方法��。
如果使用MS-CHAP作為身份驗(yàn)證協(xié)議�����,則可以使用Microsoft點(diǎn)對(duì)點(diǎn)加密協(xié)議(MPPE)來加密在PPP或PPTP連接上發(fā)送的數(shù)據(jù)�����。
EAP允許將新的身份驗(yàn)證方法用于遠(yuǎn)程訪問��。對(duì)基于智能卡的安全部署尤其重要�����,允許其他身份驗(yàn)證模塊插入Windows2000遠(yuǎn)程訪問PPP 實(shí)現(xiàn)的接口���。Windows2000支持EAP-MD5 CHAP�、EAP-TLS(用于智能卡和基于證書的身份驗(yàn)證)�����。以及EAP-RADIUS(將EAP消息傳送到RADIUS服務(wù)器)�。
如果要使用智能卡作為遠(yuǎn)程身份驗(yàn)證,則必須使用EAP-TLS身份驗(yàn)證方法��。EAP-TLS消息交換��,在遠(yuǎn)程訪問客戶機(jī)和身份驗(yàn)證者之間�����,提供了交互的身份驗(yàn)證�、協(xié)商加密方法以及安全私匙交換。EAP-TLS提供了功能最強(qiáng)大的身份驗(yàn)證和密匙交換方法�����。使用帶智能卡的EAP-TLS是目前最強(qiáng)大的身份驗(yàn)證方法����。
當(dāng)遠(yuǎn)程訪問客戶機(jī)所配置的身份驗(yàn)證協(xié)議與遠(yuǎn)程訪問服務(wù)器上配置的身份驗(yàn)證協(xié)議不匹配時(shí)��,Windows2000遠(yuǎn)程訪問客戶機(jī)會(huì)出現(xiàn)無身份驗(yàn)證的訪問��。
在默認(rèn)情況下��,Windows2000 MS-CHAP v1支持LAN Manager身份驗(yàn)證���。如果要禁止將使用MS-CHAP v1的LAN Manager身份驗(yàn)證用于早期的Microsoft操作系統(tǒng)(如WindowsNT3.5x和Windows95),就必須在身份驗(yàn)證服務(wù)器上將以下注冊(cè)表值設(shè)置為0��。
HKEV_OCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllow LW Authentication.
