(3)用鼠標右鍵單擊[端口]�����,從快捷菜單中選擇[屬性)��,出現(xiàn)如圖4.39所示的[端口屬性]對話框�,顯示現(xiàn)有設(shè)備列表��。
(4)從中選擇撥號設(shè)備���,然后單擊[配置]按鈕���。
(5)出現(xiàn)如圖4.40所示的對話框。要啟用遠程訪問���,可選中[遠程訪問連接(僅入站)]復選框����。這樣該設(shè)備可接受遠程用戶的撥入��。要啟用請求撥號路由�,可選中[請求撥號路由選擇連接(入站和出站)]復選框,這樣該設(shè)備可用于建立路由連接。
(6)可根據(jù)需要在[此設(shè)備的電話號碼]輸入框中��,輸入端口的電話號碼�。
這里的端口電話號碼只有在特殊情況下才需設(shè)置�。當啟用了BAP的遠程客戶機要請求另一個連接時,遠程訪問服務(wù)器要回送一條消息�,該消息包含的新連接的電話號碼即是這里的端口電話號碼。另外���,遠程訪問策略的"Called-Station-ld"屬性指的也是端口電話號碼����。當使用"僅限制撥入到此號碼"這一遠程訪問策略配置文件的撥入限制���,并且電話線和已安裝的電話設(shè)備不支持"呼叫的線路標識(CLID)"時����,也會在端口上設(shè)置電話號碼����。
(7)設(shè)置完畢。單擊[確定]按鈕���。
啟用遠程訪問服務(wù)器
打開[路由和遠程訪問服務(wù)]控制臺����,在目錄樹中選擇相應(yīng)的服務(wù)器,單擊鼠標右鍵���,從彈出的快捷菜單中選擇[屬性]打開屬性設(shè)置對話框����,切換到[常規(guī)]選項卡�,確認選中[遠程訪問服務(wù)器]復選框,這樣該服務(wù)器就提供遠程訪問服務(wù)功能��。
設(shè)置身份驗證和記賬功能
身份驗證是遠程訪問安全的重要措施�。遠程訪問服務(wù)器使用驗證協(xié)議來核實遠程用戶的身份。Windows2000支持用于本地的Windows身份驗證和用于遠程集中驗證的RADIUS驗證����。也支持無身份驗證的訪問。
當啟用Windows作為記賬提供程序時���,Windows2000遠程訪問服務(wù)器也支持本地記錄遠程訪問連接的身份驗證和記賬信息�。即日志記錄��。
身份驗證(Authentication)和授權(quán)(Authoring)是兩個不同的概念。身份驗證是對試圖建立連接的用戶的身份憑證進行驗證����,在驗證的過程中,用戶使用特定的身份驗證協(xié)議將身份憑證從客戶端發(fā)送到服務(wù)器端�����,由服務(wù)器進行核對���。而授權(quán)用于確定用戶是否有訪問某種資源的權(quán)限,只有身份驗證通過后�,才能進行授權(quán),以決定是否允許該用戶建立連接�����。如果使用Windows身份驗證��,服務(wù)器使用Windows2000的安全特性來驗證用戶身份����,用戶賬戶的撥入屬性和遠程訪問政策用于授權(quán)建立連接。
1.選擇身份驗證和記賬提供程序
打開[路由和遠程訪問服務(wù)]控制臺�,在目錄樹中選擇相應(yīng)的服務(wù)器�,單擊鼠標右鍵��,從彈出的快捷菜單中選擇[屬性]�,打開屬性設(shè)置對話框,切換到[安全]選項卡�,如圖4.37所示,選擇身份驗證和計賬提供程序��。
驗證提供程序;設(shè)置是由Windows身份驗證還是RADIUS服務(wù)器來驗證客戶機的賬號名稱和密碼�。除非建立了RADIUS服務(wù)器,否則采用默認的[Wundows身份驗證]����,由遠程訪問服務(wù)器本身來處理。
記賬提供程序:設(shè)置連接記錄日志保存的地方�。選擇默認的[Windows記賬],記錄保存在遠程訪問服務(wù)器上;選擇[RADIUS記賬]���,則記錄保存在RADIUS服務(wù)器上;還可選擇[<無>]�����,不保存連接記錄日志��。
2.設(shè)置身份驗證方法
這里以Windows身份驗證為例�,進一步設(shè)置相應(yīng)的驗證方法。單擊[身份驗證方法]��,打開如圖4.42所示的對話框��。身份驗證方法一般使用在連接建立過程中用于協(xié)商的一種身份驗證協(xié)議�,各種身份驗證方法比較見表4.1。
關(guān)于身份驗證方法�,再補充說明幾點。
可以同時選中多種驗證方法�����,應(yīng)盡可能禁用安全級別低的驗證方法����,以提高安全性�。在選擇身份驗證方法的時候,要注意服務(wù)器端和客戶端都要支持�����。
PAP��、SPAP��、CHAP、MS-CHAP和MS-CHAP V2都是標準身份驗證協(xié)議����,EAP是擴展的身份驗證協(xié)議,可以自定義驗證方法�。
如果使用MS-CHAP作為身份驗證協(xié)議,則可以使用Microsoft點對點加密協(xié)議(MPPE)來加密在PPP或PPTP連接上發(fā)送的數(shù)據(jù)�����。
EAP允許將新的身份驗證方法用于遠程訪問��。對基于智能卡的安全部署尤其重要�,允許其他身份驗證模塊插入Windows2000遠程訪問PPP 實現(xiàn)的接口。Windows2000支持EAP-MD5 CHAP�、EAP-TLS(用于智能卡和基于證書的身份驗證)。以及EAP-RADIUS(將EAP消息傳送到RADIUS服務(wù)器)��。
如果要使用智能卡作為遠程身份驗證����,則必須使用EAP-TLS身份驗證方法。EAP-TLS消息交換�,在遠程訪問客戶機和身份驗證者之間,提供了交互的身份驗證���、協(xié)商加密方法以及安全私匙交換���。EAP-TLS提供了功能最強大的身份驗證和密匙交換方法�。使用帶智能卡的EAP-TLS是目前最強大的身份驗證方法���。
當遠程訪問客戶機所配置的身份驗證協(xié)議與遠程訪問服務(wù)器上配置的身份驗證協(xié)議不匹配時����,Windows2000遠程訪問客戶機會出現(xiàn)無身份驗證的訪問�����。
在默認情況下����,Windows2000 MS-CHAP v1支持LAN Manager身份驗證���。如果要禁止將使用MS-CHAP v1的LAN Manager身份驗證用于早期的Microsoft操作系統(tǒng)(如WindowsNT3.5x和Windows95)�,就必須在身份驗證服務(wù)器上將以下注冊表值設(shè)置為0�。
HKEV_OCAL_MACHINESystemCurrentControlSetServicesRemoteAccessPolicyAllow LW Authentication.
