Cum se asigură securitatea conexiunilor la distanță la un computer utilizând autentificarea tls

Amenințări majore

Să începem prin examinarea unor amenințări principale.

În plus, dacă se folosește o politică de parole slabă, un atacator poate folosi un instrument, cum ar fi TScrack 2.0, pentru a selecta o parolă pentru serverele care includ serviciile terminalului Windows Terminal Services. Acest instrument, de altfel, permite implementarea atacului DoS mai sus mentionat (negare de serviciu).

Amenințarea este chiar mai periculos dacă serverul pe care rulează Terminal Services MicrosoftWindowsTerminalServicesdostupen de internet prin conexiune RDP pe portul 3389, chiar dacă utilizați pentru a proteja un firewall puternic (firewall), ca ISA Server. Acest scenariu este cel mai frecvent pentru utilizatorii de servere de afaceri mici pentru Microsoft Small Business Server.

Cu toate acestea, există veste bună, și anume că puteți evita aceste atacuri. Soluția constă în utilizarea autentificării pe computer pe baza certificatelor (autentificare pe bază de certificat de calculator). Dacă computerul nu poate fi autentificat furnizând certificatul corect la serverul terminal pe care încearcă să îl conecteze, conexiunea RDP va fi terminată înainte ca utilizatorul să se poată conecta.

Cum să activați autentificarea TLS / SSL

Înainte de a începe, există câteva condiții preliminare despre care trebuie să știți.

% sistemroot% \ system32 \ clients \ tsclient \ win32 \ msrdpcli.msi





  • Ultima cerință importantă este că clientul trebuie să aibă încredere în CA rădăcină care a emis certificatul pentru computerul de pe serverul terminal. Aceasta va asigura conectarea TLS / SSL.

Acum că știți ce este, este timpul să vedem cum funcționează toate.

Solicitați un certificat TLS / SSL

Primul lucru pe care trebuie să-l facem este să instalați certificatul TLS / SSL asociat cu computerul pe serverul terminal. Certificatul poate fi obținut în două moduri:
  • Puteți utiliza o metodă mai simplă și mai puțin sigură pentru care nu aveți nevoie de PKI sau o autoritate de certificare. Pentru a face acest lucru, puteți utiliza un instrument numit SelfSSL.exe, care face parte din kitul de resurse IIS 6.0. Puteți descărca kitul de resurse de aici.
  • Sau puteți obține un certificat SSL de la o terță parte CA
  • O altă modalitate este să utilizați certificatul dvs. propriu din PKI localizat în Microsoft Certificate Services.

În acest articol, vom crea un certificat SSL emis de PKI localizat în Microsoft Certificate Services. Și există motive pentru asta. Prin utilizarea propriului dvs. PKI Microsoft, veți obține un control clar asupra clienților care trebuie să aibă încredere în autoritatea de bază responsabilă de emiterea certificatului TLS / SSL. Ca rezultat, ne vom asigura că numai computerele de încredere vor avea voie să se autentifice la serverul terminal.

Să presupunem că ați instalat serviciul de certificare Microsoft Certificate Services undeva în infrastructura dumneavoastră. Procesul pe care ar trebui să-l utilizați pentru a solicita un certificat TLS / SSL depinde de faptul dacă solicitați un certificat de la un CA corporativ (integrat în Active Directory) sau un CA stand-alone. În acest articol, presupunem că folosiți un CA corporativ.
  1. Din meniul StartMenu de pe serverul terminal, selectați Executare. tip mmc, apoi faceți clic pe OK.
  2. Din meniul File Menu (Fișier), selectați Add / Remove Snap-in (Adăugare / Eliminare).
  1. Selectați Computer local (computerul pe care această consola rulează) și faceți clic pe butonul Terminare.
  2. În fereastra Add Standalone Snap-in, faceți clic pe butonul Închidere. apoi faceți clic pe butonul OK din fereastra Add / Remove Snap-in.
  3. În consola MMC, selectați Certificate (Computer local)
  4. Selectați ViewMenu. și faceți clic pe Opțiuni.
  5. În caseta de dialog Opțiuni de vizualizare, selectațiServer destinație. apoi faceți clic pe OK.






  1. Accesați Confirmare server în fereastra din dreapta, selectați Toate sarcinile. și faceți clic pe butonul
    Solicitați un nou certificat.
  2. Se deschide Expertul de solicitare a certificatului. Faceți clic pe butonul Următor.
  3. În lista tipurilor de certificate, lista de tipuri de certificate. selectați Server Authentication sau Computer, în funcție de instalarea certificatelor Certificates Services, bifați caseta Advanced și faceți clic pe Next.
Notă: Dacă serverul dvs. de certificate este de asemenea un controler de domeniu, care este foarte comun pentru serverele Microsoft Small Business Server, trebuie să selectați Autentificarea controlerului de domeniu din listă.
  1. (Această etapă și parametrii ego-ului pot varia în funcție de tipul de certificat).
    În fereastra următoare veți vedea lista CryptographicServiceProviderslist (lista furnizorilor de servicii criptografice). Din acesta, selectați furnizorul MicrosoftRSASChannelCryptographicProvider. Dacă este posibil, lăsați valoarea lui KeyLength egală cu 1024. Și din nou, dacă este posibil, verificați câmpul Markthiskeyasexportable, care vă va permite să copiați certificatul dacă este necesar pe un alt computer. Faceți clic pe butonul Următor.
  2. Găsiți numele autorității dvs. de certificare în fereastra CA și faceți clic pe Următorul. Introduceți numele certificatului în câmpul Nume prietenos. Faceți clic pe butonul Următor. apoi faceți clic pe butonul Terminare.

Configurarea serviciilor Terminal Services Terminal

Să continuăm și să conectăm TLS / SSL în serviciile terminale de pe server.

Din meniul AdministrationTools (administrare), porniți instrumentul numit TerminalServicesConfigurationTools. Selectați Conexiuni în fereastra din stânga. În fereastra din dreapta, faceți clic dreapta pe RDP-Tcp. și selectați Proprietăți.

În primul rând, trebuie să selectăm certificatul pe care l-am creat în secțiunea anterioară.

  1. În fila General, faceți clic pe butonul Editați.
  1. Selectați certificatul și faceți clic pe OK.
  1. În aceeași fila General, selectați SSL ca strat de securitate și setați nivelul de criptare la Nivel ridicat. apoi faceți clic pe butonul OK.

Acum, serverul este gata, deci hai să trecem la stația de lucru.

Configurarea stației de lucru

Primul lucru pe care trebuie să-l facem este să configurați clientul să aibă încredere în CA, care este responsabil pentru emiterea certificatului pe serverul terminal. Cea mai bună modalitate de a face acest lucru este să folosiți politica de grup, dar pentru simplificare, vom instala un client rădăcină de încredere pe clientul nostru utilizând un browser web.
  1. În browserul clientului dvs., introduceți următoarea adresă URL:

unde serverul trebuie înlocuit cu numele computerului de la CA.

  1. Faceți clic pe linkul Descărcare certificat CA, lanț certificat sau CRL (certificat de încărcare).
  2. În partea de sus a ecranului, faceți clic pe linkul Instalați acest certificat de certificare CA.
  1. S-ar putea să vi se solicite să confirmați dacă aveți încredere în site sau nu. Selectați Da și faceți clic pe Da din nou pentru a instala certificatul.
Doar instalați clientul de la distanță de la această locație.
  • (Acesta este un pas suplimentar). Un nou client de la distanță nu va actualiza clientul desktop la distanță în Windows XP. Prin urmare, pentru a evita apariția a două versiuni diferite ale desktop-ului de la distanță client (client desktop la distanță) de pe computer, pur și simplu copiați două fișiere din folderul% ProgramFiles% \ RemoteDesktop în dosarul în care va fi capabil să înlocuiască fișierele existente: Notă: Ca rezultat al protecției Windows File Protection, poate apărea un avertisment. Faceți clic pe Da pentru a confirma că doriți cu adevărat să suprascrieți fișierele.
  • Apoi, porniți clientul Desktop la distanță și selectați fila Securitate care a apărut după actualizarea clientului la distanță.
    1. Din lista de autentificare, selectați fie Autentificare la încercare (recomandată), fie Cerință de autentificare.
    1. Acum puteți să vă conectați și să introduceți serverul terminal specificând FQDN-ul serverului terminal. Rețineți simbolul mic al cheii din colțul din stânga sus dacă lucrați în modul ecran complet.
    2. Dacă doriți, puteți încerca să lucrați cu un client care nu are încredere în Autoritatea de certificare în infrastructura dvs. și să vedeți diferențele. Dacă ați configurat corect serverul de terminal, apoi de la un computer netestat, nu veți putea să vă conectați la server.

    Înainte de a începe

    Pașii descriși în acest articol presupun că serviciile dvs. de terminal funcționează într-un mediu de domeniu Active Directory și utilizează de asemenea propriul dvs. Microsoft PKI. Cu toate acestea, merită menționat faptul că acest lucru nu este necesar, atâta timp cât nu vă concentrați asupra securității când calculatoarele trebuie să aibă încredere în ierarhia CA.

    În exemplul nostru, am folosit mmc încorporat pentru a solicita un certificat. De asemenea, puteți rula o cerere de certificat avansată din browser și puteți specifica un certificat implicit pentru site-ul web din CA care emite certificatele. O altă modalitate este să utilizați Expertul de certificare a solicitărilor, care se află în IIS și care este utilizat în mod obișnuit pentru a solicita certificate SSL.

    Dacă ați instalat deja certificatul SSL pe server pentru alte scopuri, continuați și utilizați acest certificat pentru serviciile terminale Microsoft Terminal Services. Asigurați-vă că încă controlați cine poate avea încredere în ierarhia CA și verificați, de asemenea, dacă URL-ul asociat cu certificatul SSL existent este, de asemenea, un FQDN pe care îl puteți utiliza pentru a stabili o conexiune RDP la serverul terminal, atât din rețeaua internă, cât și din Internet.







    Articole similare

    Pagina anterioară

    Pagina următoare

    Trimiteți-le prietenilor: