vmware ESX 3.5的几个基础问题!

lz好 虽然本人对服务器版的esx不太了解 不过vm可是用了多年了

想来网络连接部分不会有太大差异

应该是在没有启动的虚拟机设置里设置网卡,如果外部不使用交换或者路由,那只能选择nat,否则选择桥接

ip问题在nat下不存在(主机会有vmdhcp自动分配192168zx,z固定但不会和主机原地址冲突) 桥接需要外部路由dhcp支持,或者手工设定

所有的配置和原网卡无冲突 但都通过网卡传数据,如果数据量太大,可能出现vm断网现象(不多见,但是有人出现过)

至于rdp,你用过的 应该和主机设置一样,共享问题在 vmtools下就可以解决

外部机器访问 如果同网段 则不需配置 不同网段 需要(桥接)设置NAT端口(有的叫端口映射),这个外部路由一般有支持

rdp摘选网页配置如下

安全地配置RDP步骤

首先你需要做的事就是通过运行 gpeditmsc 来编辑组策略对象，打开了组策略对象编辑器之后，找到“计算机设置>管理模板>Windows组件>终端服务>终端服务器>安全”，设置“客户端连接加密级别”，设置“要求安全的RPC”通信。

设置“远程（RDP）连接要求使用指定的安全层”为SSL (TLS 10)。你必须找到组策略对象中的另一个部分，它处在“计算机配置>Windows设置>安全设置>本地策略>安全选项”，启用FIPS模式，在“系统属性”窗口中，启用远程桌面，要注意的是，你设置它是允许任何RDP 60的客户端，而不是仅限于允许Vista的客户端。在所有的这些都配置好之后，你必须更新组策略，这样才能在不重启计算机的情况下实施新的设置。要做到这个你需要是用一个强制的GPUpdate。

还有 FIPS 设置, FIPS（联邦信息处理标准）的安全等级

==

我设置了n 天 , 以为是安全性设置方面的 设置 over-security 了

后来, 发现不是, 是在 Windows 自带 的 防火墙上, 设置了接受 RDP 的IP 范围

狂晕

把所有的加密再调回 128-bit

==

[转] 修改远程桌面端口号

远程桌面服务所使用的通信协议是Microsoft定义RDP(Reliable Data Protocol)协议，RDP协议的TCP通信端口号是3389。为了安全起见，我们常需要更改其端口。

运行注册表编辑器，找到

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\

Terminal Server\Wds\Repwd\Tds\Tcp

以及HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TerminalServer \WinStations

下PortNumber键的键值：0xd3d，是16进制，也就是10进制的3389，也就是RDP协议的端口，改成你欲设的端口。

客户端建立远程桌面连接端口修改：（ps：更简单的方法是直接在连接后面加端口号）

打开记事本，添加段server port:i:3390 －－3390为端口号，你可改为你要设成的端口。

保存为扩展名为rdp文件，RDP文件格式为:选项名：数据类型(i-integer/s-string：数据

运行mstscexe（即远程桌面连接），打开该文件即可。

在如今这个网络无处不在的时代，传统介质的单机产品已经越来越不能满足人们的需求，更多的软件商已经意识到了网络带给它们的便利与挑战，以微软为例，无论是网络补丁分发，还是基于网络的正版增值计划都体现了微软对于网络的利用，而对于企业用户来讲，这一点则主要体现在终端服务这方面。

　一、概念篇

　Windows Server 中的终端服务可以提高企业在各种应用情境下的软件部署能力，并且允许在应用程序和管理基础结构中融入更多的灵活性。当用户在终端服务器上运行应用程序时，应用程序实际上在服务器端执行，因此仅需要在网络上传输键盘、鼠标和显示信息。每位用户均只能看到他自己的会话，会话由服务器操作系统透明的进行管理，并且独立于其它任何客户端会话。终端服务提供了在 Windows Server 上承载多个并发客户端会话的能力。基于 Windows 的标准应用程序无需做任何修改便可在终端服务器上运行，而且可以使用所有标准的 Windows Server 管理基础结构和技术来管理客户端桌面系统。通过这种方式，企业能够从当今 Windows 操作系统环境提供的丰富应用程序和工具选择中做出适合自己需要的选择。

　面对如此贴近企业的应用，微软自然会不断的对其进行增强，在今年即将上市的Windows Server 2008中，终端服务器方面性能的改进就非常的令人欣慰。用户可以自主的决定那些程序可以远程接入。同时用户通过新的远程程序和终端服务网关能够使用Citrix公司的程序。用户还可以接入该程序，配置该程序，虚拟化以及实现随时安全接入的功能。下面我们就来逐一介绍微软终端服务的魅力所在：

　终端服务网关（Terminal Services gateway）

　在Windows Server 2008中终端服务的一个重大改进就是终端服务网关（Terminal Services Gateway），通过这个功能，用户可以在世界各地通过Internet上的一个门户来访问终端服务程序。所有的处理过程都是通过安全加密的HTTPS通道来完成的，如果用户熟悉Exchange Server或者ISA Server的话，就会发现这一特性非常的像Outlook 2003经由虚拟个人网络（***）访问邮件服务器时使用的RPC-over-HTTP的功能。

　终端服务网关（Terminal Services Gateway）可以穿过防火墙正确的完成网络地址转换，除此之外，因为数据是通过HTTPS这个几乎人人都会使用的协议进行传输的，这就避免了以前通过远程桌面协议（RDP）进行传输时遇到的无法穿透防火墙的问题，因为桌面协议（RDP）使用的3389端口在防火墙上往往是会被屏蔽掉的。

　管理员为不同的用户组设置不同的授权策略，这样就可以控制不同用户通过网关机器连接终端服务的权限，有了这个功能我们就不再需要为每个Internet上的用户开放的软件安装权限了。

　如果说终端服务为网络的分布式办公提供了可能，那么通过终端服务网关（Terminal Services Gateway）则真正使得企业部署的软件变得灵活而又可控。

　远程管理基于 Windows Server 的计算机

　任何的解决方案都需要有力工具的支持，终端服务也不例外，在终端服务技术的支持之下，Remote Desktop for Administration 专门针对服务器管理而设计。Remote Desktop for Administration 可极大减轻远程管理的工作负担，由于它并不具备完整终端服务器组件的应用程序共享和多用户能力，也不具备进程调度功能。所以，Remote Desktop for Administration 可在已经十分繁忙的服务器上使用，并不会对服务器性能和 CPU 利用率造成显著影响，这使得它成为了执行远程管理的一项方便且高效的服务。

　Remote Desktop for Administration 可用于远程管理 Windows 服务器。此模式旨在为操作员和管理员提供对典型后端服务器和域控制器的远程访问能力。管理员可访问在 Windows 环境下运行的具备图形化用户界面的工具，即便他并不使用基于 Windows 的计算机来管理服务器也没有关系。管理员可以使用终端服务客户端软件，从任何设备上和通过任何网络连接安全地管理基于 Windows服务器的计算机。管理员能够执行的任务包括：目录维护、病毒扫描、备份、重启，甚至是将服务器提升为域控制器，所有这些都可以在远程位置完成。

　其实在Windows Server 2003版本中，终端服务的管理控制台就已经非常强大，但是终端服务的管理在Windows Server 2003中依然有不尽如人意的地方，如果你使用过基于Windows Server 2003的终端服务你就会发现需要了解和操作的管理控制界面实在是太多了，而在Windows Server 2008中这一问题得到了很好的解决，用户只需要通过一个单一的管理控制台就可以完成所有的配置和管理工作。

　终端服务远程程序

　终端服务的优势就在于集中管理。通过使用终端服务，企业可确保所有客户端都使用应用程序的最新版本，因为软件只需在服务器计算机上安装一次，而不是在企业的所有桌面计算机上都进行安装。这种模式降低了桌面计算机的更新成本和难度，尤其是那些位于远程位置的计算机或分支办事处环境中的计算机。组织可通过局域网 （LAN）、广域网 （WAN） 和拨号连接，使用终端服务器模式向各类桌面环境交付基于 Windows 的应用程序。对于那些频繁更新、难于安装或者需要通过低带宽连接进行访问的业务应用程序来说，这是一种极具成本效益的部署手段。

　终端服务不仅适用于多种桌面平台，还允许用户使用较老的过时设备访问最新应用程序，帮助企业逐步对较老设备进行替换。而在这方面之前我们更多的是依赖一些第三方加载项产品，例如Citrix MetaFrame如果你非常熟悉Citrix MetaFrame的产品，那么你一定能够体会到它带给你的体验，在全新的Windows Server 2008中则开始自己支持这些功能，在Windows Server 2008中用户可以直接运行终端服务器上的应用程序，并且允许应用程序整合到本地的Windows的一个副本上，用户将看到一个独立的任务栏按键，一个应用程序窗口区域，以及更具功能性的Alt-Tab切换等等。

　这些功能对于用户来讲是完全无缝透明的，理论上讲，用户并不知道他们的程序驻留在哪里，除非由于网络原因或者服务器过载造成的偶然的性能下降或运行缓慢，用户才会发现程序好像并非保存在本地的计算机。简单来说，终端服务远程程序是通过RDP替代原先完整操作系统会话环境来部署单一应用程序的一种方法，这样的改变简化了负载，简化了配置管理，更简化了管理员的工作压力。

　使用远程桌面 Web 连接

　远程桌面 Web 连接 （Remote Desktop Web Connection） 是一个 ActiveX 控件，具有与远程桌面连接的可执行版本完全相同的功能，但是它通过 Web 提供这些功能，并且无需在客户端计算机上安装可执行版本。当在 Web 页面中托管的时候，该 ActiveX 客户端控件允许用户通过使用 TCP/IP 协议的互联网或内部网连接，登录到终端服务器，并可在 Internet Explorer 内部查看 Windows 桌面。

　远程桌面 Web 连接是通过 URL 提供终端服务器功能的简单途径。同时这个服务也非常的智能，无论加载多少程序只要是由同一用户发起的，那么在终端服务中都只会保存一个会话，这样就使得服务器端的资源管理更加的便捷，同时企业还可以将网络访问整合到SharePoint 站点上，这样用户就可以通过企业的协作平台来访问多种程序。

　除此之外，Windows Server 2008中的终端服务还有其他的一些革新，例如更加强大的团队协作功能，其中包括单点登录（SSO）终端会话，会话监控功能，以及整合的Windows系统资源管理器，这些改进都可以更好的监视系统的性能和资源的使用情况，从而使得终端服务与用户更紧密的无缝集成。

　当然新的变化永远是层出不穷的，微软正在计划引入一个全新的RDP client的最新版本－version 6－以用来整合所有的新功能，加之，新的RDP客户端版本将会支持更加精确的带宽使用率，从而是RDP的通讯更加畅通无阻。

　试想在未来的某一天我们再也不需要购买任何的软件产品，甚至是操作系统，我们需要做的就是打开电脑连入网络，然后选择自己需要的环境开始工作或是娱乐，当然这一切还取决于软件商的销售策略以及授权认证方式的完善，但单从技术的角度上讲，这一天已经离我们不再遥远，至少在大型企业内部终端服务的应用在今后的日子中将会越来越广泛。

终端服务在Windows网络环境中是一种很有用的服务。但如果使用不当会给用户带来很多麻烦。例如会导致用户数据丢失、给网络带来安全隐患等风险。终端服务在配置过程中，仍然有一些内容值得引起大家的注意。　　一、必要时让服务器在疏通模式下运作。虽然终端服务很早就在微软的操作系统中存在。但是在2008R2中还是对其进行了一些改善。其中疏通模式就是一个很大的亮点。有时候管理员出于某种原因可能需要将终端服务器脱机。在以前的版本中，可能会导致用户数据的丢失。因为那时管理员只能够使用change logon /disable命令来断开用户的连接。但是使用这个命令，虽然可以防止新用户的登陆，但是这个命令同时也会阻止断开会话连接的用户重新连接到终端服务器。此时当终端服务器停机时，用户就会丢失他们的会话以及和这个会话相关的数据。为此在以前的版本中，管理员如果要让终端服务器脱机，需要非常的谨慎。如需要选择在用户下班的情况下才脱机等等。这会给日常的维护工作带来不必要的麻烦。但是在2008R2中这种情况有了很大的改善。因为在这个版本的终端服务中引入了疏通模式。将服务器设置为这个工作模式时，管理员将服务器脱机后，可以阻断新用户的连接。但是服务器会允许带有已有会话的用户重新连接到终端服务器。当然在用户重新连接后会有相关的提示，让用户及时提交相关的作业。显然疏通模式下的工作方式要人性化许多。要改变这个工作模式，也是非常简单的。一个命令就可以完成：change logon /drain。注意当运行了这个命令之后，没有任何其他新的用户可以登陆到这个终端服务器。如果要允许用户重新登陆时，稍微麻烦一点，需要两个步骤。首先是运行命令change logon /drainumtilrestart。其次这个终端服务就会重新启动。然后用户可以登陆。可见这个疏通模式对于管理员维护终端服务器有很大的帮助。二、通过WSRM来为终端服务的用户分配资源。当将终端服务作为一个服务器时，连接到上面的用户会有很多。随之而来的问题是如何分配这些资源如果没有采取任何的措施，系统默认情况下是平均分配的。此时当用户一多，终端服务的性能就会急剧下降。为此在2008的终端服务中，微软也借鉴了其他产品的相关经验，使用WSRM来为终端服务器的各个用户管理资源的使用。WSRM(系统资源管理器)也是win2008中新实现的一个内容。并且在R2补丁中还对其进行了一些修缮。这个组件允许系统管理员来分配服务器的资源。即将内存、CPU等关键资源如何在应用程序、服务、进程之间进行分配。如果将WSRM系统资源管理器与终端服务结合使用，管理员就可以比较精确的控制每个用户或者会话所允许使用的资源最高值。通过限制用户或者会话可以使用的资源，系统管理员就可以减少用户最大限度的使用终端服务器资源的机会。在实际工作中，我们往往会为一些特殊的帐户，设置比较高的资源使用量。而对于普通的用户则会进行限制。这主要是因为在终端服务维护时，如对终端服务进行升级，会消耗系统比较多的资源。否则的话，就可能会导致升级失败或者升级的时间延长。为此需要优先保证管理员帐户的需求。其次如果在同一个服务器上运行了多种服务。如除了终端服务外还有邮箱服务等等，就需要限制终端服务总的资源消耗量。以免终端服务占用了太多的资源，而给其他应用服务的运作产生了不利的影响。总之在2008的环境下，如果终端访问的用户数量比较多或者多个应用服务同时部署在一台服务器上，则笔者都会建议用户要使用WSRM系统资源管理器来合理分配各个用户、各个服务可以使用的最大资源量。同时对于不同的用户、不同的服务根据实际情况还需要有区别的对待。即关键用户、关键服务要放宽资源的使用限制。而对其他次要的、或者偶发性资源占用情况比较多的服务，需要加以限制。从而减少各个服务、各个用户资源争夺的情况。三、谨慎终端服务器的升级。如果要对终端服务器进行升级换代，笔者建议是采用全新安装的方式。但是如果服务器上除了终端服务还有其他应用服务，则采取这种方式并不是很合理。如果数据库服务于终端服务都在同一台服务器上，那么重新安装的话，还需要重新部署数据库服务。这个工作两就会很大。在这种情况下，只有对终端服务进行升级。不过在升级的时候，需要特别的谨慎。虽然微软在升级这块上做的已经非常的不错。但是在实际工作中还是经常会遇到升级后终端服务无法正常运行的情况。发生这种情况的原因有很多。如升级失败、升级后的兼容性问题等等。为此笔者建议，在终端服务器上应用任何操作系或者应用程序更新(打补丁也是如此)之前，都需要在独立的服务器上进行测试。也就是说，先克隆一台终端服务器(与原有的终端服务器具有相同的服务与应用程序)，然后在这台克隆的终端服务器上先进行升级。以判断升级过后是否会与现有的应用程序与服务产生冲突。在这个过程中，管理员还可以发现一些相关资料上没有提到的内容。如升级之前需要的准备工作、升级之后相关的应用服务是否需要重新配置等等。如在服务升级之后，有时候可能需要重新安装打印机驱动程序等等。这些都是很难预测的。只有通过测试之后才能够发现问题。基于升级过程中可能发生的难以预测的原因，笔者建议在升级之前要谨慎，需要做好相关数据的备份。当然作为最佳的做法，笔者还是推荐使用带有最新的终端服务器代替原有的服务器。即现在一台服务器上部署好最新版本的终端服务，直接将原有的服务器替换下来。虽然这么做工作量会比较大，如需要重新创建每个文件共享和打印设备、需要重新安装最新的驱动程序来支持每个客户端。但是相对于升级后产生的问题来说，这么做还是值得的。在实际工作中，最大的问题并不是工作量增加的问题。而是需要增加一台额外的服务器作为备用。其次就是仍然需要进行数据的移植，如用户数据库等等。总之在Win2008R2中对于终端服务做了很多改善，添加了不少新的特性。系统管理员需要灵活使用这些特性来改善自己的工作。不过从低版本的终端服务升级到2008R2版本的终端服务时，仍然需要谨慎。在这里的建议是重新部署，而不是选择升级。

技术在近年来获得前所未有的增长。云技术如今已被运用到银行、学校、政府以及大量的商业组织。但是云计算也并非万能的，和其他IT部署架构一样存在某些难以弥补的缺陷。例如公有云典型代表：服务器，用户数据存储在云计算基础平台的存储系统中，但敏感的信息和应用程序同样面临着网络攻击和黑客入侵的威胁。以下就是壹基比小喻要讲的服务器面临的九大安全威胁。

哪些因素会对服务器安全有危害？

一、数据漏洞

云环境面临着许多和传统企业网络相同的安全威胁，但由于极大量的数据被储存在服务器上，服务器供应商则很可能成为**数据的目标。供应商通常会部署安全控件来保护其环境，但最终还需要企业自己来负责保护云中的数据。公司可能会面临：诉讼、犯罪指控、调查和商业损失。

二、密码和证书

数据漏洞和其他攻击通常来源于不严格的认证、较弱的口令和密钥或者证书管理。企业应当权衡集中身份的便利性和使储存地点变成攻击者首要目标的风险性。使用服务器，建议采用多种形式的认证，例如：一次性密码、手机认证和智能卡保护。

三、界面和API的入侵

IT团队使用界面和API来管理和与服务器互动，包括云的供应、管理、编制和监管。API和界面是系统中最暴露在外的一部分，因为它们通常可以通过开放的互联网进入。服务器供应商，应做好安全方面的编码检查和严格的进入检测。运用API安全成分，例如：认证、进入控制和活动监管。

四、已开发的系统的脆弱性

企业和其他企业之间共享经验、数据库和其他一些资源，形成了新的攻击对象。幸运的是，对系统脆弱性的攻击可以通过使用“基本IT过程”来减轻。尽快添加补丁——进行紧急补丁的变化控制过程保证了补救措施可以被正确记录，并被技术团队复查。容易被攻击的目标：可开发的bug和系统脆弱性。

五、账户劫持

钓鱼网站、诈骗和软件开发仍旧在肆虐，服务器又使威胁上升了新的层次，因为攻击者一旦成功、操控业务以及篡改数据，将造成严重后果。因此所有云服务器的管理账户，甚至是服务账户，都应该形成严格监管，这样每一笔交易都可以追踪到一个所有者。关键点在于保护账户绑定的安全认证不被窃取。有效的攻击载体：钓鱼网站、诈骗、软件开发。

六、居心叵测的内部人员

内部人员的威胁来自诸多方面：现任或前员工、系统管理者、承包商或者是商业伙伴。恶意的来源十分广泛，包括窃取数据和报复。单一的依靠服务器供应商来保证安全的系统，例如加密，是最为危险的。有效的日志、监管和审查管理者的活动十分重要。企业必须最小化暴露在外的访问：加密过程和密钥、最小化访问。

七、APT病毒

APT通过渗透服务器中的系统来建立立足点，然后在很长的一段时间内悄悄地窃取数据和知识产权。IT部门必须及时了解最新的高级攻击，针对服务器部署相关保护策略（ID:ydotpub）。此外，经常地强化通知程序来警示用户，可以减少被APT的迷惑使之进入。进入的常见方式：鱼叉式网络钓鱼、直接攻击、USB驱动。

八、永久性的数据丢失

关于供应商出错导致的永久性数据丢失的报告已经鲜少出现。但居心叵测的黑客仍会采用永久删除云数据的方式来伤害企业和云数据中心。遵循政策中通常规定了企必须保留多久的审计记录及其他文件。丢失这些数据会导致严重的监管后果。建议云服务器供应商分散数据和应用程序来加强保护：每日备份、线下储存。

九、共享引发潜在危机

共享技术的脆弱性为服务器带来了很大的威胁。服务器供应商共享基础设施、平台以及应用程序，如果脆弱性出现在任何一层内，就会影响所有。如果一个整体的部分被损坏——例如管理程序、共享的平台部分或者应用程序——就会将整个环境暴露在潜在的威胁和漏洞下

信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。

鉴别

鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。

口令机制：口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z，这样一直下去；还有基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。

智能卡：访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃，许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。

主体特征鉴别：利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型识别器。

数据传输安全系统

数据传输加密技术 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文件加密，位于OSI网络层以上的加密）。

一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封，然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。

数据完整性鉴别技术 目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制。

报文鉴别：与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值，称为该报文的完整性检测向量ICV（Integrated Check Vector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。

校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。

加密校验和：将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。

消息完整性编码MIC（Message Integrity Code）：使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。

防抵赖技术 它包括对源和目的地双方的证明，常用方法是数字签名，数字签名采用一定的数据交换协议，使得通信双方能够满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才能读懂，而对于收方的回执也是同样道理。另外实现防抵赖的途径还有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。

鉴于为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便，有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务，为应用系统提供安全性强的数字签名和自动密钥分发功能，支持多种单向散列函数和校验码算法，以实现对数据完整性的鉴别。

数据存储安全系统

在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。

数据库安全：对数据库系统所管理的数据和资源提供安全保护，一般包括以下几点。一，物理完整性，即数据能够免于物理方面破坏的问题，如掉电、火灾等；二，逻辑完整性，能够保持数据库的结构，如对一个字段的修改不至于影响其它字段；三，元素完整性，包括在每个元素中的数据是准确的；四，数据的加密；五，用户鉴别，确保每个用户被正确识别，避免非法用户入侵；六，可获得性，指用户一般可访问数据库和所有授权访问的数据；七，可审计性，能够追踪到谁访问过数据库。

要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略；二是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。

终端安全：主要解决微机信息的安全保护问题，一般的安全功能如下。基于口令或（和）密码算法的身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬盘启动；数据和程序代码加密存储，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。

信息内容审计系统

实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要或涉密网络，应该安装使用此系统。

在默认情况下，‘远程桌面用户’组的成员拥有这些权限。如果您不是‘远程桌面用户’组或其他拥有这些权限的组的成员，或者如果‘远程桌面用户’组没有这些权限，您必须被手动授予这些权限”。

   下面小编整理了4种解决办法，需要的朋友可以参考下。

   第一种:

   1、开始》运行》输入gpeditmsc

   2、展开计算机配置》windows设置》安全设置》本地策略》用户权限分配》双击通过终端服务拒绝登陆》将里面的users组删除。

这种方法我试了一下，发现组策略里面的“双击通过终端服务拒绝登陆”是空的，说明没有被阻止，开始很郁闷，以为这种方法不行了。

   后来无意中看到下面有个“通过终端服务允许登陆”，双击进去后看到只有“administrator”组，于是添加了一个“Domain Users”组进去，呵呵，搞定，错误消失了。

第二种:

   到"控制面板" -- "管理工具" -- "终端服务配置" -- "服务器设置" 在右边框中, 授权"每用户" 改成 "每设备",

处理办法:

   1 "控制面板" -- "管理工具" -- "终端服务配置"

   2 点击"连接", 右边出现连接项(例如: RDP-Tcp,tcp,Microsoft RDP 52)

   3 双击要修改的连接项。

   3 弹出窗口, 单击"权限"选项卡。

   4 单击"高级"，然后单击"添加"。

   5 指定要添加的用户或组，使该用户或组能够使用“远程控制”。

   6 添加用户或组之后，将显示权限项 对话框。单击“远程控制”的允许 列，将其选中。

   7 单击确定。

   8 单击确定，再次单击确定。

第三种：

终端服务器授权宽限期已过，服务尚未跟有许可证的许可证服务器注册。要继续操作，需要有一个终端服务器许可证服务器。如果没有许可证服务器，终端服务器可以在第一次启动之后运行 120 天

在系统组件里面删除终端服务和终端服务授权,没选上标示删除哦，重新启动,打开远程桌面就可以正常,无限制的使用远程桌面了

第四种：

1、先卸载终端服务和终端授权服务：控制面板→添加删除程序→添加/删除windows组件→删除终端服务和终端授权服务。

   提示你重新启动计算机，这时千万记住不能启动，点否。

2、点我的电脑属性→远程→远程桌面→在“启用这台计算机的远程桌面”上打对勾→之后会得到提示,点确定。

3、重新启动。运程连接，看到了熟悉桌面。轻松搞定！

终端安全管理软件选购注意事项！

注意事项分为三类：

一类是准入安全管控，外来接入自动报警，自动防木马，黑客攻击。防止非授权计算机接入公司网络，阻止非授权网络链接接入公司计算机，特别是公司服务器系统。

二是终端数据防泄密，对公司内部文档进行驱动层自动加密，设置不同员工的访问权限，并实时记录文档操作，对打印，拷贝，截屏，文档外发，即时通讯工具，ERP，OA ，钉钉、微信等网络办公传输数据进行加密保护，防止机密数据被第三方截获或非法利用。

三是计算机终端部署方式：常见的企业网络架构，分为:A只有一个办公场所，且只有一个局域网; B有多个办公场所，且有多个局域网，可以分别管理，C有多个办公场所，且有多个局域网，同时把多个局域网组建了***专网进行统一管理；D有多个办公场所，且有多个局域网，没有组建***，但是总部局域网有固定的公网IP地址，实现对所有终端进行统一管理。

目前可以实现,A,B,C,D 四种网络都可以部署的成熟终端管理软件，国内首选合力天下内网安全监管平台。