Telnet Server Security
.gif "A hyphen indicates that the information in this topic is not relevant for this platform, or that the platform does not support the API that is listed.")
.gif "A checkmark indicates that the information in this topic is relevant for this platform, and that any API listed is also supported on this platform.")
9/8/2008
O servidor Telnet incluído Windows Embedded CE é um exemplo pretende apresentação você como criar sistema de rede serviços que interagir e registrar com o Services.exe. O exemplo Telnet Server também é útil para dispositivo trazer-Up e depuração.
O servidor Telnet incluído como um ferramenta de ensino, mas não para distribuição comercial sem outras modificações. A segurança no exemplo de Telnet é muito clara e vulnerável a ataques de segurança. Mesmo se o servidor Telnet é configurado para exigir autenticação senha, a senha é enviada em texto sem formatação entre a rede e, portanto, é vulnerável a invasão por sniffer pacote. Um usuário mal-intencionado foi possível obter a senha para o dispositivo pelo observando os pacotes enviados voltar e entre o exemplo Telnet e o cliente durante o estágio de autenticação. Se um usuário mal-intencionado poderia log on to o dispositivo, ele teria completo controle sobre ele. Isso poderia envolver a exclusão ou modificar chave arquivos sistema e o Registro.
Por causa desses riscos de segurança sérios, é altamente recomendável apenas executar o exemplo Telnet para desenvolvimento e depuração fins, em uma rede controlado, privada onde você confiança os usuários. É altamente recomendável que você faça não implantar este servidor Telnet exemplo em uma rede pública such as o Internet.
Microsoft recomenda que você examinar cuidadosamente a codificar e necessidades de segurança para implantação de destino e, se necessário, adicionar mais infra-estrutura de segurança antes de distribuir essa funcionalidade em um produto versão.
Melhores Práticas
.gif)
Definir as variáveis de lista de usuário e domínio para evitar ataques em seu dispositivo por usuários não autorizados
Se O servidor Telnet for usado sem apropriado valores definidos para as variáveis de lista de usuário e domínio, o servidor Telnet ficará vulnerável a ataques por usuários não autorizados. Essas variáveis não são definidas Por padrão. Um usuário não autorizado só deve adivinhar senha do dispositivo, da maneira que ele é definido no Painel de controle, para obter acessar para o servidor.
Para evitar esse ataque, no nome usuário a UserList valor do Registro deve ser definido para cada um dos servidores que estão execução. O usuário, em seguida, será necessário para log in with o nome usuário especificado e apropriado senha para usar o servidor.
Você pode definir a variável domínio na DefaultDomain valor do Registro, que fica sob a HKEY_LOCAL_MACHINE\Comm\Redir chave Registro. Para obter mais informações sobre este valor do Registro, consulte Configurações do Registro de acesso à rede API/redirecionador Windows.
Se o valor do Registro DefaultDomain não está definida, Windows Embedded CE usa o local banco de dados usuário para definir a variável domínio. Você pode usar o NTLMSetUserInfo função para adicionar usuário informações para o local banco de dados.
Ativar um firewall em seu dispositivo rede
Para ambientes corporação, Microsoft recomenda o uso de um firewall rede com a proteção de invasão, such as Microsoft Internet Security e Acceleration (ISA) Server. Para obter mais informações, visite este Microsoft Web site.
Para ambientes não-corporação ou proteção adicional, Microsoft recomenda que você incluir e configurar o Windows Embedded CE Firewall no dispositivo de rede. Para obter mais informações sobre o Windows Embedded CE IP Firewall e como configurá-lo, consulte Firewall.
Para obter informações sobre como configurar o firewall IP corretamente gerenciar tráfego destinado a rede interna, consulte Referência do firewall IP.
Modificar o cliente Telnet seja mais Seguro
Porque a codificar origem para o cliente Telnet é fornecido com Windows Embedded CE, existem várias coisas que você pode fazer para melhorar a segurança do dispositivo:
- Definir a raiz Telnet como um Diretório sem qualquer confidencial arquivos. O log de Telnet dados são gravados em arquivos em Diretório a raiz de Telnet, portanto, configuração de raiz para um Diretório de segurança conhecido será evitar acessar Telnet a outros diretórios.
- Desative comandos Telnet desnecessários. Para o recurso log, você só precisará habilitar o comando Sair.
- Gravar eventos logs-em-out e os Telnet para a solução de problemas arquivo log.
Em ordem para tornar a acima alterações, copiar o código-fonte Telnet, modificá-lo para restringir sua funcionalidade descrita acima e compilação-lo.
Acima de tudo, esteja ciente de que o cliente Telnet destina-se a ser usado para desenvolvimento, depuração e implantações exemplo e não deve ser implantado comercialmente sem uma atualização de segurança rigorosas.
Configurações do Registro padrão
Você deve estar ciente das configurações de Registro que afetam a segurança. Se um valor tem implicações de segurança, você irá localizar um Security Note na documentação a configurações Registro.
Para informações Registro Telnet Server, consulte Configurações do Registro do servidor Telnet.
Portas
O servidor Telnet usa porta 23 como uma porta usar como padrão para receber conexões Telnet. Este valor pode ser alterada ou adicional ser escutados em portas podem ser adicionadas. O servidor Telnet usa o Services.exe para escutar para de entrada Conexões. O Services.exe pode escutar em qualquer porta IPv4 ou IPv6. Para obter mais informações, consulte Registrando um serviço super automaticamente.
See Also
Concepts
Telnet Server Registry Settings