ПредишенСледващото

основните заплахи

Да започнем, като погледнете в някои от основните заплахи.

В допълнение, ако използвате слаба политика парола за един хакер може да се използва като инструмент, като например TScrack 2.0, за да предполагам пароли за сървъри, които включват Terminal Services Windows Terminal Services. Този инструмент между другото, също така позволява гореспоменатата DoS атака (отказ на услуга).

Заплахата е още по-опасно, ако сървърът, на който работи Terminal Services MicrosoftWindowsTerminalServicesdostupen от интернет чрез ПРСР връзка на порт 3389, дори ако използвате за защита на мощна защитна стена (защитна стена), тъй като ISA Server. Този сценарий е най-често за потребители на сървъра на Microsoft Small Business Server Small Business.

Въпреки това, има добра новина, която е, че можете да се избегнат тези атаки. Решението е да използвате сертификат компютър, базиран удостоверяване (удостоверение базиран компютър удостоверяване). Ако компютърът не може да се удостовери чрез представяне на валиден сертификат за терминален сървър (терминален сървър), за който се опитва да се свърже с връзка ПРСР ще бъде прекратено, преди потребителят да може да влезе.

Как да се свържете TLS / SSL удостоверяване

Преди да започнете, има няколко предпоставки, които трябва да знаете.

% SystemRoot% \ system32 \ клиенти \ tsclient \ win32 \ msrdpcli.msi
  • Последното важно изискване е, че клиентът трябва да се доверите на Root CA, която е издала сертификата за компютъра, разположен на терминален сървър (терминален сървър). Това ще гарантира създаването на TLS / SSL връзки.

Сега, че знаете какво е това, че е време да видим как работи всичко.

/ SSL сертификат искане TLS

Първото нещо, което трябва да направите е да инсталирате сертификата за TLS / SSL, свързан с компютъра на терминален сървър. Сертификатът може да се получи по два начина:
  • Можете да използвате по-опростена и по-малко сигурен начин, който не изисква PKI или стойност сертификат (сертификат за достъп). Можете да използвате един инструмент, наречен SelfSSL.exe, която е част от комплекта на ресурсите на IIS 6.0. Можете да изтеглите комплекта с ресурси от тук.
  • Или можете да получите сертификат за SSL от трета страна, CA
  • Друг начин е да използвате вашия собствен сертификат от вашия PKI базирани на Microsoft удостоверителни услуги.

В тази статия, ние ще се създаде сертификат за SSL, издаден от PKI базирани на Microsoft удостоверителни услуги. И има защо. Поради използването на собствения си Microsoft PKI, можете да получите ясна контрол върху клиентите, които са се доверили корен CA, отговорен за издаване / SSL сертификат TLS. В резултат на това ние ще се гарантира, че само надеждни компютри е позволено да удостовери автентичността на вашия терминален сървър.

Да предположим, че сте инсталирали сертификат услуга на Microsoft удостоверителни услуги някъде във вашата среда. Процесът, който трябва да се използва за искане сертификат / SSL TLS зависи от това дали се иска сертификат от корпоративен (предприятието) CA (интегрирани в Active Directory), или самостоятелно CA. В тази статия ние приемаме, че използвате корпоративна CA.
  1. От меню StartMenu (Старт) на терминален сървър, изберете Run (изпълнение). Тип на MMC, и след това щракнете върху OK.
  2. От менюто File Menu, изберете Add / Remove Snap-ин.
  1. Изберете Локален компютър (компютърът тази конзола се изпълнява на) и кликнете (пълна) бутон Finish.
  2. В Add Standalone Snap-в, щракнете върху бутона за затваряне (Close). и след това щракнете върху бутона OK в Add / Remove Snap-ин.
  3. В конзолата MMC, кликнете Сертификати (локален компютър)
  4. Изберете ViewMenu. и кликнете върху Options (Настройки).
  5. В диалоговия прозорец Опции за достъп, изберете Certificatepurpose (удостоверение за назначаване). и след това щракнете върху OK.
  1. Отиди Server Authentication (сървър за удостоверяване) в десния панел, изберете Всички задачи (vsezadachi). и кликнете върху
    Заявка за нова Сертификат (zaprositnovyysertifikat).
  2. Отворете съветника Заявка помощник сертификат. Щракнете върху бутона Напред.
  3. В списъка с видове Сертификат списъка с видове сертификат. Изберете Authentication сървър или на компютъра, в зависимост от настройката на Сертификати Услуги Certificate Services, моля, отбележете кутия напреднали (по желание), и кликнете Next.
Забележка: Ако в сертификата на сървъра (в сертификата на сървъра) също е домейн контролер (домейн контролер), което се случва много често за сървър Microsoft Small Business Server, след което трябва да изберете от списък с домейн контролер Authentication (удостоверяване на домейн контролера).
  1. (Тази стъпка и техни варианти могат да варират в зависимост от вида на сертификат).
    В следващия прозорец ще видите CryptographicServiceProviderslist (списък на криптографски доставчици). От него изберете MicrosoftRSASChannelCryptographicProvider доставчик. Ако е възможно, оставете KeyLength стойност (дължина на ключа), равна на 1024. И отново, ако е възможно, поставете отметка в полето Markthiskeyasexportable който ще ви позволи да копирате на сертификата, ако е необходимо, на друг компютър. Щракнете върху бутона Напред.
  2. Намерете името на вашата сертифициращ орган в полето за Калифорния, и кликнете Next. Въведете име на сертификата в приятелски име. Щракнете върху бутона Напред. и след това щракнете върху Finish (пълна) бутон.

Конфигуриране на Terminal Services Terminal Services

Нека да преминем и да даде възможност на TLS / SSL в терминални услуги на сървъра.

От меню AdministrativeTools (администрация), стартирайте инструмент, наречен TerminalServicesConfigurationTools. Изберете връзки в левия прозорец (връзка). В десния панел щракнете с десния бутон на мишката върху RDP-TCP. и изберете Properties (Свойства).

Първо, трябва да изберете сертификата, който сте създали в предишната част.

  1. Tab на General (често), кликнете върху бутона Edit (Редактиране).
  1. Изберете го, и кликнете OK.
  1. В същия раздел Общи, изберете SSL, ниво на сигурност (сигурност слой) и определяне на размера на криптиране (ниво на кодиране) към висока (висока). след това натиснете бутона OK.

Сега сървърът е готов, така че нека да преминем към работна станция (работна станция).

Настройване на работна станция

Първото нещо, което трябва да направим - е да се коригира на клиента да се доверите на СО, която отговаря за издаването на удостоверението на терминален сървър. Най-добрият начин да направите това е да използвате Group Policy, но за простота ние си поставихме за доверен главен СО за наш клиент чрез уеб браузър.
  1. В браузъра (браузър) на вашия клиент, въведете следния URL адрес:

където сървър е необходимо да се замени името на компютъра на CA.

  1. Кликнете върху линка за изтегляне сертификат от сертифициращ орган, верига сертификати, или CRL (удостоверение за сваляне).
  2. В горната част на екрана с едно щракване Инсталирайте този сертификат CA верига (ustanovitetutsepochkusertifikatov).
  1. Можете да поиска потвърждение - ако имате доверие на уеб сайта или не. Изберете Да, и след това кликнете върху бутона Да, за да инсталирате сертификата.
Просто инсталирате клиента Remote Desktop (клиент за отдалечен достъп) от това място.
  • (Тази стъпка не е задължителна). Нов клиент за отдалечен достъп, няма да се актуализира вграден клиент за отдалечен достъп в Windows XP. Ето защо, за да се избегне появата на две различни версии на клиент за отдалечен достъп (клиент за отдалечен достъп) на вашия компютър, трябва само да копирате двата файла от папката% ProgramFiles% \ RemoteDesktop в папката, в която ще бъде в състояние да замени съществуващите файлове: Забележка: В резултат на защитата на файлове на Windows File Protection може предупреждение. Щракнете върху Да, за да потвърдите, че наистина искате да замените файлове.
  • На следващо място, стартирайте отдалечен клиент плот (Remote Desktop клиент) и изберете раздела Security (сигурност), който се появява след актуализиране на клиента Remote Desktop (клиент за отдалечен достъп).
    1. От списък прозорец удостоверяване Authentication, изберете или Опит Authentication (препоръчително), или да изиска удостоверяване.
    1. Сега можете да се свържете и да влезете в терминален сървър, като въведете името FQDN на терминален сървър (терминален сървър). Обърнете внимание на малкия ключ иконата в горния ляв ъгъл, ако работите в режим на цял екран.
    2. Ако искате, можете да пробвате с клиент, който не вярва на сертифициращия орган в инфраструктура и да видим разликите. Ако сте конфигурирали правилно терминален сървър, на които не са надеждни компютри не могат да се свързват към сървъра.

    Преди да започнете

    Стъпките, описани в тази статия, предполагат, че използвате терминални услуги в среда, Active Directory домейн, както и да използва своя собствена Microsoft PKI. Въпреки това, следва да се отбележи, че това не е необходимо, стига да се съсредоточи върху защитата, когато компютрите трябва да се доверяват на йерархия CA.

    В нашия пример, ние използвахме вградения MMC за искането за сертификат. Можете също така да извърши предварителна заявка сертификат от браузъра и въведете сертификат по подразбиране за уеб сайт на СО издава сертификати. Друг начин е да се използва искания сертификати Асистенти Заявка за сертификата Wizard, която се съхранява в IIS и който обикновено се използва, за да поиска SSL сертификати.

    Ако вече сте инсталирали сертификат SSL на сървъра за други цели, след което продължете напред и да използва този сертификат на вашите Terminal Services Microsoft Terminal Services. Просто се уверете, че все още сте в контрола на които могат да се доверят на йерархията Ви Калифорния, и се уверете, че URL, във връзка със съществуващия сертификат SSL, е и FQDN, която може да се използва за установяване на ПРСР връзки с терминален сървър (терминален сървър), както от вътрешната мрежа и от интернет.

    Свързани статии

    Подкрепете проекта - споделете линка, благодаря!