A számítógép távoli kapcsolatainak biztonsága a tls hitelesítés használatával

előzőa következő

Főbb veszélyek

Kezdjük azzal, hogy megfontoljuk a fő fenyegetések közül néhányat.

Ezen felül, ha gyenge jelszó-szabályzatot használnak, a támadó egy olyan eszközzel is használható, mint a TScrack 2.0, jelszót választva a Windows Terminal Services terminálszolgáltatásokat tartalmazó kiszolgálókhoz. Ez az eszköz egyébként lehetővé teszi a fent említett DoS támadást (szolgáltatás megtagadása).

A veszély még veszélyesebbé válik, ha a Microsoft Windows Terminal Services szolgáltatásokat futtató kiszolgáló elérhető az internetről a 3389-es porton található RDP-kapcsolaton keresztül, még akkor is, ha hatékony tűzfalat használ, például az ISA Server-t, hogy megvédje. Ez a forgatókönyv a legelterjedtebb a Microsoft Small Business Server kisvállalati kiszolgálók számára.

Van azonban jó hír, hogy elkerülheti ezeket a támadásokat. A megoldás a tanúsítványokon alapuló számítógépes hitelesítés (tanúsítvány alapú számítógépes hitelesítés) használatából áll. Ha a számítógép nem tudja hitelesíteni a megfelelő tanúsítványt a terminálkiszolgálóhoz, amelyhez csatlakozni kíván, akkor az RDP-kapcsolat megszűnik, mielőtt a felhasználó bejelentkezhet.

A TLS / SSL hitelesítés engedélyezése

Mielőtt elkezdené, számos előfeltételről van szó, amelyekről tudnia kell.

% systemroot% \ system32 \ kliensek \ tsclient \ win32 \ msrdpcli.msi
  • Az utolsó fontos követelmény az, hogy az ügyfélnek megbízhatónak kell lennie a terminálkiszolgálón található számítógép tanúsítványát kiadó gyökér CA-nál. Ez biztosítja a TLS / SSL kapcsolat létrehozását.

Most, hogy tudod, mi az, itt az ideje, hogy lássam, hogyan működik.

Kérjen TLS / SSL tanúsítványt

Az első dolog, amit tennünk kell, a TLS / SSL tanúsítvány telepítése a terminálkiszolgáló számítógépével. A tanúsítvány kétféleképpen érhető el:
  • Egyszerűbb és kevésbé biztonságos módszert használhat, amelyre nincs szüksége PKI-re vagy tanúsítvány-hatóságra. Ehhez használhatja az SelfSSL.exe nevű eszközt, amely az IIS 6.0 erőforrás készlet része. Az erőforráskészlet letölthető innen.
  • Vagy szerezhet SSL tanúsítványt harmadik féltől származó CA-tól
  • Egy másik módja a saját tanúsítvány használata a Microsoft tanúsítványszolgáltatásokban található PKI-ből.

Ebben a cikkben létrehozunk egy PKI által kibocsátott SSL tanúsítványt, amely a Microsoft tanúsítványszolgáltatásokban található. És ennek okai vannak. A saját Microsoft PKI használatával egyértelműen ellenőrizheti az ügyfeleket, akiknek megbízniuk kell a TLS / SSL tanúsítvány kiadásáért felelős gyökér CA-nál. Ennek eredményeképpen biztosítjuk, hogy csak a megbízható számítógépek jogosultak hitelesítésre a terminálkiszolgálón.

Tegyük fel, hogy már telepítette a Microsoft Tanúsítványszolgáltatások tanúsítvány szolgáltatását valahol az infrastruktúrájába. A TLS / SSL tanúsítvány igényléséhez szükséges folyamat attól függ, hogy tanúsítványt szeretne-e kérni egy vállalati CA-tól (integrált Active Directoryban) vagy önálló CA-tól. Ebben a cikkben feltételezzük, hogy vállalati CA-t használ.
  1. A terminálkiszolgáló StartMenu menüjében válassza a Futtatás parancsot. írja be a mmc parancsot, majd kattintson az OK gombra.
  2. A File Menu (Fájl menü) menüben válassza a Add / Remove Snap-in (beépülő modul hozzáadása / eltávolítása) lehetőséget.
  1. Válassza a Helyi számítógép (a számítógépen, amelyen ez a konzol működik), és kattintson a Befejezés gombra.
  2. Az Automatikus beépülő modul hozzáadása ablakban kattintson a Bezárás gombra. majd kattintson az OK gombra az Add / Remove Snap-in ablakban.
  3. Az MMC konzolon válassza a Tanúsítványok (Helyi számítógép)
  4. Válassza a ViewMenu lehetőséget. és kattintson az Opciók gombra.
  5. A Nézetbeállítások párbeszédpanelen válassza ki a CertificatePurpose lehetőséget. majd kattintson az OK gombra.
  1. A jobb oldali ablakban kattintson a Server Authentication (Kiszolgálóhitelesítés) lehetőségre, válassza az Összes feladat lehetőséget. és kattintson a gombra
    Új tanúsítvány kérése.
  2. Megnyílik a Tanúsítványkérelem varázsló. Kattintson a Tovább gombra.
  3. A tanúsítványtípusok listájának listája. válassza ki a Kiszolgáló hitelesítés vagy a Számítógép lehetőséget, a tanúsítványok szolgáltatási tanúsítványainak telepítésétől függően jelölje be a Speciális dobozt, majd kattintson a Tovább gombra.
Megjegyzés: Ha a tanúsítványkiszolgáló egy olyan tartományvezérlő is, amely nagyon gyakori a Microsoft Small Business Server kiszolgálókon, akkor ki kell választania a tartományvezérlő hitelesítését a listáról.
  1. (Ez a szakasz és az ego paraméterek a tanúsítvány típusától függően változhatnak).
    A következő ablakban megjelenik a CryptographicServiceProviderslist (kriptográfiai szolgáltatók listája). Erről válassza ki a MicrosoftRSASChannelCryptographicProvider szolgáltatót. Ha lehetséges, hagyja a KeyLength értékét 1024-re. Ha lehetséges, ellenőrizze a Markthiskeyase exportálható mezőt, amely lehetővé teszi a tanúsítvány másolását, ha szükséges, egy másik számítógépre. Kattintson a Tovább gombra.
  2. Keresse meg a tanúsító hatóság nevét a CA ablakban, majd kattintson a Tovább gombra. Írja be a tanúsítvány nevét a Barátságos név mezőbe. Kattintson a Tovább gombra. majd kattintson a Befejezés gombra.

Terminálszolgáltatások terminálszolgáltatásainak konfigurálása

Folytassuk és kapcsoljuk össze a TLS / SSL szolgáltatást a szerver terminálszolgáltatásain.

A AdministrationTools menüből (adminisztráció) indítsa el a TerminalServicesConfigurationTools nevű eszközt. Válassza a Kapcsolatok elemet a bal oldali ablakban. A jobb oldali ablakban kattintson jobb gombbal az RDP-Tcp elemre. és válassza a Tulajdonságok parancsot.

Először ki kell választanunk az előző részben létrehozott tanúsítványt.

  1. Az Általános lapon kattintson a Szerkesztés gombra.
  1. Válassza ki a tanúsítványt, majd kattintson az OK gombra.
  1. Ugyanazon Általános lapon jelölje ki az SSL biztonsági réteget, és állítsa a titkosítási szintet Magasra. majd kattintson az OK gombra.

Most már a kiszolgáló készen áll, tehát lépjünk át a munkaállomásra.

A munkaállomás konfigurálása

Az első dolog, amit meg kell tennie, az ügyfélnek kell megbíznia a CA-ban, amely a tanúsítvány kiadásáért felelős a terminálkiszolgálón. A legjobb módja ennek a csoportpolitikának a használata, de az egyszerűség kedvéért egy megbízható gyökér CA-t telepítünk ügyfeleinknek egy webböngésző használatával.
  1. Az ügyfél böngészőjében írja be a következő URL-címet:

ahol a kiszolgálót ki kell cserélni a számítógép nevével a CA-ról.

  1. Kattintson a CA tanúsítvány, tanúsítványlánc vagy CRL (betöltési bizonyítvány) hivatkozás letöltésére.
  2. A képernyő tetején kattintson az Install this CA certificate chain láncszemre.
  1. Kérheti a megerősítést - függetlenül attól, hogy megbízik-e a weboldalon vagy sem. Válassza az Igen lehetőséget, és ismét kattintson az Igen gombra a tanúsítvány telepítéséhez.
Csak telepítse a távoli asztali klienst ebből a helyről.
  • (Ez egy további lépés). Egy új távoli asztali ügyfél nem frissíti a beépített távoli asztali ügyfélprogramot a Windows XP rendszerben. Ezért annak elkerülése érdekében, hogy a távoli asztali ügyfél két különböző verziója megjelenjen a számítógépen, egyszerűen másolja át a két fájlt a% ProgramFiles% \ RemoteDesktop mappából azon mappákba, ahol a meglévő fájlokat lecserélheti: Megjegyzés: A Windows Fájlvédelem védelme következtében figyelmeztetés jelenhet meg. Kattintson az Igen gombra annak megerősítéséhez, hogy ténylegesen felülírja a fájlokat.
  • Ezután indítsa el a Távoli asztali ügyfélprogramot, és jelölje ki a távoli asztali ügyfélfrissítés után megjelenő Biztonság lapot.
    1. A Hitelesítési listából válassza ki a Kísérlethitelesítés (ajánlott) vagy a Hitelesítés igénylését.
    1. Most a terminálkiszolgálót a terminálkiszolgáló FQDN-jével adhatja meg és írhatja be. Ha teljes képernyős üzemmódban dolgozik, vegye figyelembe a bal felső sarokban található kis kulcsszimbólumot.
    2. Ha szeretné, tesztelhet egy olyan klienst, aki nem bízik a tanúsító hatóságban az infrastruktúrájában és nézze meg a különbségeket. Ha a terminálkiszolgálót helyesen konfigurálta, akkor nem tesztelt számítógépről, akkor nem tud csatlakozni a kiszolgálóhoz.

    Mielőtt elkezdené

    A cikkben ismertetett lépések azt feltételezik, hogy terminálszolgáltatásai Active Directory tartományi környezetben működnek, és a saját Microsoft PKI-t is használják. Azonban érdemes megjegyezni, hogy ez nem szükséges, mindaddig, amíg nem fókuszál a biztonságra, ha a számítógépeknek megbízniuk kell a CA hierarchiában.

    Példánkban a beépített mmc-t a tanúsítvány megszerzéséhez használtuk. Fejlett tanúsítványkérést is futtathat a böngészőből, és megadhatja az alapértelmezett tanúsítványt a tanúsítványokat kiadó CA-ra. Egy másik módja a tanúsítványkérelem varázsló használata, amely az IIS-ben található, és amelyet gyakran használnak az SSL-tanúsítványok lekéréséhez.

    Ha már telepítette az SSL tanúsítványt a kiszolgálóra más célokra, akkor folytassa és használja ezt a tanúsítványt a terminálszolgáltatások Microsoft Terminal Services szolgáltatásához. Győződjön meg róla, hogy továbbra is ellenőrzi, ki bízhat a CA hierarchiában, és ellenőrizze, hogy a meglévő SSL-tanúsítványhoz társított URL szintén egy FQDN, amellyel RDP kapcsolatot létesíthet a terminálkiszolgálóval, mind a belső hálózatból, mind az internetről.

    Kapcsolódó cikkek

    előzőa következő