在Windows Server 2008的終端服務(Terminal Services)中最大的亮點就是整體安全性的提高，作為管理員和用戶最常使用的遠程訪問服務器之一，這種安全性的提高也并不讓人意外，并且非常受到大家的歡迎。在本文中我們將討論怎樣做才能確保你的終端服務器(Terminal Server)環境更加安全。

使用雙重因素驗證

當我們在考慮網絡安全時，我們有必要進行雙重因素驗證。

目前主要有集中不同形式的雙重因素驗證方式，不過最常用的是終端服務所支持的智能卡(Smart Card)。在使用智能卡時，用戶不僅需要提供有效的登錄憑證，而且他們必須能夠提供智能卡連接到他們用于作為遠程終端的設備。

為了獲取智能卡驗證，你必須創建一個能夠運用到終端服務器的組策略對象(Group Policy Object)。在組策略對象中，瀏覽Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options，并啟用Interactive Logon: Require Smart Card設置。此外，你將需要啟用智能卡重新定位到終端服務器，可以通過在用戶工作組上的遠程桌面連接客戶端的本地資源選項中，勾選智能卡選項。

為所有客戶端執行網絡級別的身份驗證

在過去，在服務器上部署終端服務驗證是通過連接服務器上的會話(session)然后在Windows Server登錄屏幕中輸入登錄憑證。這聽起來似乎非常麻煩，但是從安全的角度來看，能夠啟動session登錄屏幕可能會暴露關于網絡的信息(域名，計算機名稱等)或者可能讓服務器受到拒絕服務攻擊，這種攻擊主要來自擁有服務器公用IP地址的人。

網絡級身份驗證(NLA)是遠程桌面連接客戶端(Remote Desktop Connection Client)6.0版本中新加的功能，該功能可以在向用戶顯示Windows Server登錄界面之前允許用戶輸入他們的登錄憑證。Windows Server 2008使我們能夠利用這項功能并要求所有連接客戶端使用該功能。

要想使用NLA，你必須使用Windows 2008 Server，并且你的連接客戶端必須能夠支持CredSSP(Windows XP SP3、Windows Vista、 Windows 7)以及運行Remote Desktop Connection 6.0或者更高版本的遠程桌面連接。你同樣也可以配置終端服務器，要求其客戶端在幾個不同位置使用NLA：

在最初的終端服務角色安裝過程中，當終端服務器屏幕顯示出指定驗證方法時，選擇Allow connections only from computers running Remote Desktop with Network Level Authentication(僅允許運行網絡級身份驗證的遠程桌面的計算機發送的連接)選項。

在終端服務配置MMC管理單元中，右鍵單擊你的客戶端使用的終端服務器連接，然后選擇屬性，選擇Allow connections only from computers running Remote Desktop with Network Level Authentication選項

創建一個組策略對象，查看Computer Configuration/Administrative Templates/Windows Components/Terminal Services/Terminal Server/Security位置，啟用Require user authentication for remote connections by using Network Level Authentication(要求使用網絡級別的身份驗證進行遠程連接的用戶驗證)設置。