خلف درع مزدوج. كيفية إعداد الوصول عن بعد عبر تسجيل الدخول إلى RDP Rdp باستخدام شهادة شخصية

من المؤكد أن الكثير منكم قد سمع ورأى هذا الاختصار بالفعل - فهو يُترجم حرفيًا على أنه بروتوكول سطح المكتب البعيد. إذا كان أي شخص مهتمًا بالتعقيدات الفنية لتشغيل بروتوكول مستوى التطبيق هذا، فيمكنه قراءة الأدبيات، بدءًا من نفس ويكيبيديا. سننظر في الجوانب العملية البحتة. وهي حقيقة أن هذا البروتوكول يسمح لك بالاتصال عن بعد بأجهزة الكمبيوتر التابعة له التحكم بالويندوزإصدارات مختلفة باستخدام المدمج في أداة ويندوز"الاتصال بسطح المكتب البعيد."

ما هي إيجابيات وسلبيات استخدام بروتوكول RDP؟

لنبدأ بالأشياء الممتعة - بالإيجابيات. الميزة هي أن هذه الأداة، والتي تسمى بشكل صحيح عميل RDP، متاحة لأي مستخدم يعمل بنظام Windows، سواء على الكمبيوتر الذي سيتم إدارة جهاز التحكم عن بعد منه، أو لأولئك الذين يرغبون في فتح الوصول عن بعد إلى أجهزة الكمبيوتر الخاصة بهم.

من خلال الاتصال بسطح المكتب البعيد، من الممكن ليس فقط رؤية سطح المكتب البعيد واستخدام موارد الكمبيوتر البعيد، ولكن أيضًا الاتصال به الأقراص المحليةوالطابعات والبطاقات الذكية وغيرها. بالطبع، إذا كنت ترغب في مشاهدة مقطع فيديو أو الاستماع إلى الموسيقى عبر RDP، فمن غير المرجح أن تمنحك هذه العملية المتعة، لأن... في معظم الحالات، ستشاهد عرض شرائح ومن المحتمل أن يتم مقاطعة الصوت. لكن خدمة RDP لم يتم تطويرها لهذه المهام.

ميزة أخرى لا شك فيها هي أن الاتصال بالكمبيوتر يتم دون أي برامج إضافية، والتي يتم دفعها في الغالب، على الرغم من أن لها مزاياها. وقت الوصول إلى خادم RDP (وهو جهاز الكمبيوتر البعيد الخاص بك) محدود فقط برغبتك.

لا يوجد سوى اثنين من السلبيات. أحدهما مهم والآخر ليس كثيرًا. الأول والأساسي هو أنه من أجل العمل مع RDP، يجب أن يكون لدى الكمبيوتر الذي يتم الاتصال به عنوان IP أبيض (خارجي)، أو يجب أن يكون من الممكن "إعادة توجيه" منفذ إلى هذا الكمبيوتر من جهاز التوجيه، والتي يجب أن يكون لها عنوان IP خارجي مرة أخرى. سواء كانت ثابتة أو ديناميكية لا يهم، ولكن يجب أن تكون كذلك.

العيب الثاني ليس مهمًا جدًا - أحدث إصدارات العميل لم تعد تدعم نظام الألوان المكون من 16 لونًا. الحد الأدنى - 15 بت. يؤدي هذا إلى إبطاء RDP بشكل كبير عند الاتصال عبر إنترنت متوقف ومتوقف بسرعة لا تتجاوز 64 كيلوبت في الثانية.

ما الذي يمكنك استخدامه للوصول عن بعد عبر RDP؟

تستخدم المؤسسات عادةً خوادم RDP من أجل تعاونفي برنامج 1C بل إن البعض ينشر محطات عمل المستخدم عليها. وبالتالي، يمكن للمستخدم، خاصة إذا كان لديه عمل مسافر، إذا كان لديه إنترنت 3G أو شبكة Wi-Fi في الفندق/المقهى، الاتصال بمكان عمله عن بعد وحل جميع المشكلات.

في بعض الحالات، يمكن للمستخدمين المنزليين استخدام الوصول عن بعد إلى أجهزة الكمبيوتر الخاصة بهم الكمبيوتر المنزليللحصول على بعض البيانات من الموارد المنزلية. من حيث المبدأ، تتيح لك خدمة سطح المكتب البعيد العمل بشكل كامل مع النص والهندسة و التطبيقات الرسومية. للأسباب المذكورة أعلاه، لن يعمل مع معالجة الفيديو والصوت، لكنه لا يزال يمثل ميزة إضافية مهمة جدًا. يمكنك أيضًا عرض الموارد التي تم إغلاقها بموجب سياسة الشركة في العمل من خلال الاتصال بجهاز الكمبيوتر المنزلي الخاص بك دون أي أدوات إخفاء الهوية أو VPN أو أي أرواح شريرة أخرى.

تحضير الانترنت

في القسم السابق، تحدثنا عن حقيقة أنه لتمكين الوصول عن بعد عبر RDP، نحتاج إلى عنوان IP خارجي. يمكن تقديم هذه الخدمة من قبل المزود، لذلك نتصل أو نكتب أو نذهب إلى المنطقة الشخصيةوالترتيب لتوفير هذا العنوان. من الناحية المثالية، يجب أن تكون ثابتة، ولكن من حيث المبدأ، يمكنك العيش مع ديناميكية.

إذا لم يفهم شخص ما المصطلحات، فسيكون العنوان الثابت ثابتًا، ويتغير العنوان الديناميكي من وقت لآخر. من أجل العمل بشكل كامل مع عناوين IP الديناميكية، تم اختراع خدمات مختلفة توفر ربط المجال الديناميكي. ماذا وكيف، سيكون هناك مقال حول هذا الموضوع قريبا.

تحضير جهاز التوجيه

إذا لم يكن جهاز الكمبيوتر الخاص بك متصلاً مباشرة بكابل مزود خدمة الإنترنت (ISP) بالإنترنت، ولكن من خلال جهاز توجيه، فسيتعين علينا أيضًا إجراء بعض المعالجات مع هذا الجهاز. وهي إعادة توجيه منفذ الخدمة - 3389. وإلا فإن NAT الخاص بجهاز التوجيه الخاص بك لن يسمح لك بالدخول. شبكة منزلية. الأمر نفسه ينطبق على إعداد خادم RDP في المؤسسة. إذا كنت لا تعرف كيفية إعادة توجيه منفذ، فاقرأ المقالة حول كيفية إعادة توجيه المنافذ على جهاز التوجيه (يتم فتحها في علامة تبويب جديدة)، ثم ارجع إلى هنا.

تحضير الكمبيوتر

من أجل إنشاء القدرة على الاتصال بجهاز كمبيوتر عن بعد، عليك القيام بأمرين بالضبط:

السماح بالاتصال في خصائص النظام؛
- تعيين كلمة مرور للمستخدم الحالي (إذا لم يكن لديه كلمة مرور)، أو إنشاء مستخدم جديد بكلمة مرور مخصصة للاتصال عبر RDP.

قرر بنفسك ما يجب فعله مع المستخدم. ومع ذلك، ضع في اعتبارك أن أنظمة التشغيل غير الخادمة لا تدعم عمليات تسجيل الدخول المتعددة أصلاً. أولئك. إذا قمت بتسجيل الدخول بنفسك محليًا (وحدة التحكم)، ثم قمت بتسجيل الدخول بنفس المستخدم عن بعد، فسيتم قفل الشاشة المحلية وسيتم فتح الجلسة في نفس المكان في نافذة الاتصال بسطح المكتب البعيد. إذا قمت بإدخال كلمة المرور محليًا دون الخروج من RDP، فسيتم طردك من الوصول عن بعد، وسترى الشاشة الحالية على شاشتك المحلية. ينتظرك نفس الشيء إذا قمت بتسجيل الدخول إلى وحدة التحكم كمستخدم واحد، ثم حاولت تسجيل الدخول كمستخدم آخر عن بعد. في هذه الحالة، سيطالبك النظام بإنهاء جلسة المستخدم المحلية، الأمر الذي قد لا يكون مناسبًا دائمًا.

لذلك، انتقل إلى "ابدأ"، وانقر بزر الماوس الأيمن على قائمة "الكمبيوتر"، ثم انقر فوق "خصائص".

في خصائص النظام حدد خيارات إضافيةأنظمة

في النافذة التي تفتح، انتقل إلى علامة التبويب الوصول عن بعد...

...انقر فوق المزيد...

وحدد المربع الوحيد في هذه الصفحة.

هذه "محلية الصنع" نسخة ويندوز 7 - أولئك الذين لديهم Pro وما فوق سيكون لديهم المزيد من خانات الاختيار ومن الممكن التفريق في الوصول.

انقر فوق "موافق" في كل مكان.

الآن، يمكنك الانتقال إلى "الاتصال بسطح المكتب البعيد" (ابدأ>كافة البرامج>البرامج الملحقة)، وإدخال عنوان IP الخاص بالكمبيوتر أو اسمه هناك إذا كنت تريد الاتصال به من شبكتك المنزلية واستخدام جميع الموارد.

مثله. من حيث المبدأ، كل شيء بسيط. إذا كان لديك أي أسئلة فجأة أو بقي شيء غير واضح، مرحباً بك في التعليقات.

باختصار: يسمح لك بتكوين المصادقة الثنائية للوصول إلى الخادم الطرفي. باستخدام الأداة المساعدة MS Remote Desktop Connection أو Remote Desktop Web Connection، يمكنك الاتصال بسهولة بسطح المكتب البعيد باستخدام مفتاح USB (رمز مميز).

كيف يعمل مفتاح تسجيل الدخول Rohos مع سطح المكتب البعيد.

يتكامل مفتاح تسجيل الدخول Rohos مع عملية ترخيص Windows Terminal Services ويضيف طبقة مصادقة ثنائية إلى البنية التحتية الحالية للتحكم في الوصول إلى النظام. بعد إعداد Rohos Logon Key، سيتمكن المستخدمون من تسجيل الدخول إلى Remote Desktop إما باستخدام مفتاح USB فقط، أو باستخدام مفتاح USB وكلمة المرور.

مزايا حماية الخادم الطرفي.

• تسمح لك هذه الطريقة بتقييد الوصول عن بعد لمستخدمين محددين أو قائمة مستخدمين.
• يُطلب من هؤلاء المستخدمين إدخال مفتاح USB أو إدخال رمز OTP في كل مرة.
• كل مفتاح فريد ولا يمكن تزويره
• ليست هناك حاجة لتوصيل مفتاح USB مباشرة بالخادم عند إعداده.
• ليست هناك حاجة لتثبيت البرنامج على كل جهاز كمبيوتر يمكنك الوصول إليه*.
• يحتاج المسؤول فقط إلى التهيئة المسبقة وإصدار مفتاح USB للمستخدم للوصول.

زيادة الأمان من خلال مفتاح USB الإلكتروني أو كلمات المرور لمرة واحدة:

• كلمة مرور مفتاح Windows+ USB، مثل SafeNet وeToken وiKey وePass وغيرها مع دعم PKCS#11.
• كلمة مرور ويندوز + فلاش يو اس بيالناقل.
• يتم إرسال كلمة مرور Windows + رمز OTP عبر الرسائل القصيرة إلى تليفون محمولمستخدم.
• كلمة مرور النافذة + رمز OTP مع برامج جوجلتم تثبيت أداة المصادقة على الهاتف الذكي الخاص بالمستخدم.
• فقط كلمة المرور المشفرة على مفتاح USB.
• مفتاح USB الإلكتروني + رمز PIN للمفتاح؛
• مفتاح USB الإلكتروني + مفتاح PIN + كلمة مرور Windows؛

قبل البدء في إعداد مفتاح Rohos Logon، عليك أن تقرر:

• ما نوع مفتاح USB الذي سيتم استخدامه للترخيص؛
• ما نوع المصادقة التي تريد استخدامها:
  1) عاملان = مفتاح USB + كلمة مرور Windows،
  2) عامل واحد = مفتاح USB (يتضمن هذا أيضًا خيار مفتاح USB + مفتاح PIN إذا كان متاحًا)،
  3) استخدم مفتاح USB فقط على جهاز الكمبيوتر المحلي. في هذه الحالة، لن يتحقق الخادم الطرفي مما إذا كان لدى العميل مفتاح USB.

طريقة المصادقة للخادم الطرفي	نوع مفتاح USB	تثبيت برنامج Rohos Logon Key على العميل والخادم الطرفي
		عميل ويندوز فيستا/7/8	خادم TS ويندوز سيرفر 2008/2012
1) المصادقة الثنائية (مفتاح USB وكلمة مرور Windows).	رموز USB (PKCS#11) بطاقات ذكية أداة مصادقة جوجل يوبيكي محرك فلاش USB*
2) المصادقة أحادية العامل (مفتاح USB فقط)	محرك فلاش USB رموز USB (PKCS#11) البطاقات الذكية++3)
3) يتم استخدام مفتاح USB للراحة. لا يتحقق الخادم الطرفي من وجود مفتاح USB.	أي نوع من مفاتيح USB

* إذا كنت تستخدم محرك أقراص USB المحمول كمفتاح وصول، فيجب عليك تثبيت أحد البرنامجين على جهاز الكمبيوتر الخاص بالعميل: إما البرنامج أو . أثناء عملية إنشاء مفتاح على الخادم، سيتم نسخه إلى محرك أقراص USB، مما يضمن استخدام محرك أقراص USB كمفتاح للاتصال بسطح المكتب البعيد. يمكن تشغيل هذا المكون المحمول على محطات العمل الأخرى المستخدمة للاتصال بالخادم عن بعد.

بمجرد تحديد نوع مفتاح USB وطريقة المصادقة الثنائية، يمكنك البدء في تثبيت Rohos Logon Key.

أنواع مفاتيح USB والتقنيات المناسبة للمصادقة عبر سطح المكتب البعيد باستخدام برنامج Rohos Logon Key:

البطاقات الذكية، بطاقات جافا (Mifare 1K)

الرموز المستندة إلى PKCS11. على سبيل المثال، SafeNet eToken، وSecuretoken ST3/4، وsenseLock trueToken، وRuToken، وuaToken، وiKey.

رموز Yubikey وOTP، مثل Google Authenticator

مدخل يو اس بي. في هذه الحالة، بعد إنشاء المفتاح، سيتم نسخ المكون المحمول للبرنامج إلى قرص USB.

مراحل إعداد الاتصال باستخدام برنامج Rohos Logon Key:

1. قم بتثبيت برنامج Rohos Logon Key على الخادم الطرفي. في إعدادات البرنامج، حدد نوع مفتاح USB.

2. قم بتثبيت حزمة Rohos Management Tools على الكمبيوتر الذي ستصل منه إلى سطح المكتب البعيد لإنشاء المفاتيح.

3. إنشاء مفاتيح للوصول عبر RDC:

قم بتوصيل مفتاح USB المستقبلي بجهاز الكمبيوتر المحلي الخاص بك. اتصل بالخادم الطرفي عبر RDC. في إعدادات برنامج Remote Desktop، حدد الموارد المحلية ( محركات أقراص USBأو البطاقات الذكية) إلى الكمبيوتر البعيد.

قم بتشغيل برنامج Rohos Logon Key على الخادم الطرفي. استخدم أمر إعداد المفتاح، وحدد المستخدم الذي تقوم بإنشاء المفتاح له، وأدخل كلمة المرور الخاصة به إذا لزم الأمر.

ملحوظة: بعض أنواع يو اس بييمكن إنشاء المفاتيح في برنامج إدارة مفاتيح USB من حزمة أدوات إدارة Rohos. تم تثبيت هذه الحزمة على جهاز الكمبيوتر الخاص بالمسؤول. بعد إنشاء كافة المفاتيح في هذا البرنامج، تحتاج إلى تصدير قائمتهم إلى الخادم الطرفي. . يوجد في نفس البرنامج زر للنسخ إلى محرك أقراص USBالبرامج.

4. إعداد مفتاح تسجيل الدخول Rohos على الخادم الطرفي:

بعد إنشاء جميع المفاتيح، يمكنك تعزيز أمان الخادم عن طريق منع بعض المستخدمين من الوصول إليه بدون مفتاح USB. افتح إعدادات برنامج Rohos Logon Key، واسمح بالوصول فقط باستخدام قائمة مفاتيح USB.

خيارات:

• لا أحد
  يمكن لجميع المستخدمين تسجيل الدخول باستخدام كلمة المرور أو باستخدام USBمفتاح لا ينصح بهذا التكوين لملقم طرفي.
• لأي مستخدم
  يشبه هذا الخيار الخيار القديم السماح بتسجيل الدخول فقط عن طريق مفتاح USB. يُطلب من جميع المستخدمين استخدام مفتاح USB لتسجيل الدخول إلى Windows أو إلغاء قفله.
• للمستخدمين المدرجين
  يُطلب من المستخدمين الموجودين في القائمة فقط استخدام مفتاح USB لتسجيل الدخول. يمكن لجميع المستخدمين الآخرين تسجيل الدخول باستخدام كلمة المرور. يتم إنشاء القائمة تلقائيًا عند إنشاء مفتاح USB للمستخدم. تتم إضافة اسم المستخدم من مفتاح USB إلى هذه القائمة. بالإضافة إلى ذلك، يمكن استيراد قائمة المستخدمين والمفاتيح من كمبيوتر آخر. وبطبيعة الحال، يمكن للمسؤول فقط القيام بذلك.
• لمجموعة المستخدمين "rohos" في Active Directory
  يُطلب من كل مستخدم من مجموعة rohos استخدام مفتاح USB.
  تنبيه: يجب إنشاء مجموعة مستخدمي rohos بواسطة مسؤول Active Directory.
• لتسجيل الدخول لسطح المكتب البعيد
  يمكن للمستخدمين المحليين تسجيل الدخول باستخدام مفتاح USB أو بدونه. تسجيل الدخول عن بعد ممكن فقط باستخدام مفتاح USB. يعد هذا الخيار مثاليًا لتعزيز أمان الخادم الطرفي.
• لتسجيل الدخول إلى سطح المكتب البعيد خارج الشبكة المحلية (LAN).
  المستخدمين في شبكه محليهيمكن تسجيل الدخول إلى الخادم الطرفي بدون مفتاح. يُطلب فقط من المستخدمين الذين يقومون بتسجيل الدخول عبر الطلب الهاتفي أو اتصالات DSL أو من شبكات أخرى استخدام مفاتيح USB.

اتصال سطح المكتب البعيد

عند الاتصال، سنرى مربع حوار تعريف الشبكة هذا.

يجب عليك تحديد اسم مستخدم وإدخال كلمة المرور حسابعلى تيسي.

إذا نجحت مصادقة كلمة المرور، فسيتم الاتصال بسطح المكتب البعيد. في هذه المرحلة، يقوم Rohos Logon Key بالتحقق من وجود مفتاح USB الخاص بالمستخدم.

يمكن أن يتوقف مفتاح تسجيل الدخول Rohos عن الوصول إذا لم يكن مفتاح USB متصلاً:

في حالة استخدام رمز مميز بكلمة مرور لمرة واحدة، ستظهر نافذة لإدخاله.

مفتاح تسجيل الدخول Rohos المحمول

سيساعدك البرنامج إذا كنت تستخدم محرك أقراص USB محمولاً، ولكنك لا تستطيع أو لا ترغب في تثبيته عليه الكمبيوتر المحليلا يوجد مفتاح تسجيل دخول Rohos ولا أدوات إدارة Rohos. يتم نسخ هذا المكون تلقائيًا إلى محرك أقراص USB المحمول أثناء إنشاء المفتاح على الخادم الطرفي. وبدلا من ذلك، يمكن الحصول عليه عن طريق الجري برنامج يو اس بيترخيص Key Manager Pro - للوصول عبر سطح المكتب البعيد إلى كمبيوتر متصل بالشبكة (وليس خادمًا طرفيًا)، وكذلك للاستخدام في المجال.

ترخيص الخادم - مصمم خصيصًا للخادم الطرفي (Windows 2003، 2008،2012 مع إمكانية الوصول عبر Remote Desktop)

جرب Rohos Logon Key مجانًا لمدة 15 يومًا. مفتاح تسجيل الدخول روهوس.

بعد هذه الفترة، سيعمل البرنامج أيضًا، لكنه سيذكرك بالتسجيل.

إذا كان العائق الوحيد أمام الوصول إلى بياناتك هو كلمة المرور، فأنت في خطر كبير. يمكن اختراق البطاقة أو اعتراضها أو سرقتها بواسطة حصان طروادة أو انتشالها باستخدام الهندسة الاجتماعية. يعد عدم استخدام المصادقة الثنائية في هذه الحالة جريمة تقريبًا.

لقد تحدثنا بالفعل عن المفاتيح التي تستخدم لمرة واحدة أكثر من مرة. المعنى بسيط جدا. إذا تمكن أحد المهاجمين بطريقة ما من الحصول على كلمة مرور تسجيل الدخول الخاصة بك، فيمكنه الوصول بسهولة إلى بريدك الإلكتروني أو الاتصال به السيرفر المتحكم. ولكن إذا كان هناك عامل إضافي في طريقه، على سبيل المثال مفتاح لمرة واحدة (ويسمى أيضًا مفتاح OTP)، فلن ينجح شيء. حتى لو وقع هذا المفتاح في أيدي المهاجم، فلن يكون من الممكن استخدامه، لأنه صالح مرة واحدة فقط. يمكن أن يكون هذا العامل الثاني عبارة عن مكالمة إضافية، أو رمز يتم استلامه عبر الرسائل القصيرة، أو مفتاح يتم إنشاؤه على الهاتف باستخدام خوارزميات معينة بناءً على الوقت الحالي (الوقت هو وسيلة لمزامنة الخوارزمية على العميل والخادم). نفس الشيء جوجل بالفعلوقد أوصت منذ فترة طويلة مستخدميها بتمكين المصادقة الثنائية (بضع نقرات في إعدادات الحساب). والآن حان دور إضافة طبقة الحماية هذه لخدماتك!

ماذا يقدم Duo Security؟

مثال تافه. يحتوي جهاز الكمبيوتر الخاص بي على منفذ RDP مفتوح "بالخارج" للاتصال بسطح المكتب عن بعد. إذا تم تسريب كلمة مرور تسجيل الدخول، فسوف يتلقى المهاجم على الفور الوصول الكاملالى السيارة. لذلك، لم يكن هناك شك في تعزيز حماية كلمة المرور لمرة واحدة - كان من الضروري القيام بذلك. لقد كان من الغباء إعادة اختراع العجلة ومحاولة تنفيذ كل شيء بمفردي، لذلك نظرت للتو إلى الحلول المتوفرة في السوق. تبين أن معظمها تجاري (مزيد من التفاصيل في الشريط الجانبي)، ولكن يمكن استخدامها مجانًا لعدد صغير من المستخدمين. فقط ما تحتاجه لمنزلك. إحدى الخدمات الأكثر نجاحًا التي تسمح لك بتنظيم المصادقة الثنائية لأي شيء حرفيًا (بما في ذلك VPN وSSH وRDP) هي Duo Security (www.duosecurity.com). وما زاد من جاذبيته هو أن المطور والمؤسس للمشروع هو جون أوبرهايد، وهو متخصص معروف في أمن المعلومات. على سبيل المثال، قام بتفكيك البروتوكول التواصل جوجلمع الهواتف الذكية التي تعمل بنظام أندرويد، والتي يمكنك من خلالها تثبيت أو إزالة التطبيقات التعسفية. هذه القاعدة تجعل نفسها محسوسة: لإظهار أهمية المصادقة الثنائية، أطلق الرجال خدمة VPN Hunter (www.vpnhunter.com)، والتي يمكنها العثور بسرعة على خوادم VPN غير المخفية للشركة (وفي نفس الوقت تحديد نوع المعدات التي تعمل عليها)، وخدمات الوصول عن بعد (OpenVPN، RDP، SSH) وعناصر البنية التحتية الأخرى التي السماح للمهاجم بالوصول إلى الشبكة الداخلية ببساطة عن طريق معرفة تسجيل الدخول وكلمة المرور. من المضحك أنه على تويتر الرسمي للخدمة، بدأ أصحاب الخدمة في نشر تقارير يومية عن مسح الشركات المعروفة، وبعد ذلك تم حظر الحساب :). تهدف خدمة Duo Security، بالطبع، في المقام الأول إلى تقديم المصادقة الثنائية في الشركات التي لديها عدد كبير من المستخدمين. لحسن حظنا، من الممكن إنشاء حساب شخصي مجاني، والذي يسمح لك بتنظيم المصادقة الثنائية لعشرة مستخدمين مجانًا.

ماذا يمكن أن يكون العامل الثاني؟

بعد ذلك، سننظر في كيفية تعزيز أمان اتصالك بسطح المكتب البعيد وSSH على خادمك خلال عشر دقائق حرفيًا. ولكنني أريد أولاً أن أتحدث عن الخطوة الإضافية التي يقدمها Duo Security كعامل ترخيص ثانٍ. هناك عدة خيارات: مكالمة هاتفية، رسائل نصية قصيرة تحتوي على رموز المرور، رموز مرور Duo Mobile، Duo Push، المفتاح الإلكتروني. المزيد عن كل منهما.

كم من الوقت يمكنني استخدامه مجانا؟

كما ذكرنا سابقًا، يقدم Duo Security عرضًا خاصًا خطة التعريفة"شخصي". إنه مجاني تمامًا، ولكن يجب ألا يزيد عدد المستخدمين عن عشرة. يدعم إضافة عدد غير محدود من عمليات التكامل، وجميع طرق المصادقة المتاحة. يوفر الآلاف من الاعتمادات المجانية للخدمات الهاتفية. تشبه الاعتمادات العملة الداخلية التي يتم خصمها من حسابك في كل مرة تتم فيها المصادقة باستخدام مكالمة أو رسالة نصية قصيرة. في إعدادات حسابك، يمكنك ضبطه بحيث تتلقى إشعارًا عندما تصل إلى عدد محدد من الاعتمادات وسيكون لديك الوقت لزيادة رصيدك. ألف اعتمادات تكلف 30 دولارات فقط. سعر المكالمات والرسائل النصية القصيرة دول مختلفةمختلف. بالنسبة لروسيا، ستتكلف المكالمة من 5 إلى 20 نقطة، والرسالة النصية القصيرة - 5 نقاط. ومع ذلك، لا يتم فرض أي رسوم على المكالمة التي تتم أثناء المصادقة على موقع Duo Security. يمكنك نسيان الاعتمادات تمامًا إذا كنت تستخدم تطبيق Duo Mobile للمصادقة - فلا يتم تحصيل أي رسوم مقابل ذلك.

تسجيل سهل

لحماية خادمك باستخدام Duo Security، تحتاج إلى تنزيل وتثبيت عميل خاص يتفاعل مع خادم مصادقة Duo Security ويوفر طبقة ثانية من الحماية. وفقًا لذلك، سيكون هذا العميل مختلفًا في كل موقف: اعتمادًا على المكان الذي يكون فيه من الضروري تنفيذ المصادقة الثنائية. سنتحدث عن هذا أدناه. أول ما عليك فعله هو التسجيل في النظام والحصول على حساب. لذلك نفتح الصفحة الرئيسيةموقع الويب، انقر فوق "التجربة المجانية"، وفي الصفحة التي تفتح، انقر فوق الزر "تسجيل" ضمن نوع الحساب الشخصي. وبعد ذلك يطلب منا إدخال اسمنا الأول واسم العائلة وعنوان البريد الإلكتروني واسم الشركة. من المفترض أن تتلقى رسالة بريد إلكتروني تحتوي على رابط لتأكيد تسجيلك. في هذه الحالة، سيقوم النظام تلقائيًا بطلب رقم الهاتف المحدد: لتنشيط حسابك، يجب عليك الرد على المكالمة والضغط على الزر # الموجود على الهاتف. بعد ذلك، سيكون الحساب نشطًا ويمكنك البدء في اختبار القتال.

حماية RDP

لقد قلت أعلاه أنني بدأت برغبة كبيرة في تأمين الاتصالات عن بعد بسطح المكتب. لذلك، كمثال أول، سأصف كيفية تعزيز أمان RDP.

يبدأ أي تطبيق للمصادقة الثنائية بإجراء بسيط: إنشاء ما يسمى بالتكامل في ملف تعريف Duo Security. انتقل إلى قسم "التكامل  تكامل جديد"، وحدد اسم التكامل (على سبيل المثال، "Home RDP")، وحدد نوعه "Microsoft RDP" وانقر فوق "إضافة تكامل".

تعرض النافذة التي تظهر معلمات التكامل: مفتاح التكامل، والمفتاح السري، واسم مضيف واجهة برمجة التطبيقات. سنحتاج إليها لاحقًا عندما نقوم بتكوين جزء العميل. من المهم أن نفهم: لا ينبغي لأحد أن يعرفهم.

بعد ذلك، تحتاج إلى تثبيت عميل خاص على الجهاز المحمي، والذي سيقوم بتثبيت كل ما هو ضروري في نظام Windows. يمكن تنزيله من الموقع الرسمي أو أخذه من القرص الخاص بنا. يتلخص إعداده بالكامل في حقيقة أنه أثناء عملية التثبيت، ستحتاج إلى إدخال مفتاح التكامل المذكور أعلاه، والمفتاح السري، واسم مضيف واجهة برمجة التطبيقات (API).

هذا كل شيء، في الواقع. الآن، في المرة التالية التي تقوم فيها بتسجيل الدخول إلى الخادم عبر RDP، ستحتوي الشاشة على ثلاثة حقول: اسم المستخدم وكلمة المرور ومفتاح Duo لمرة واحدة. وعليه، لم يعد من الممكن تسجيل الدخول إلى النظام بمجرد تسجيل الدخول وكلمة المرور.

في المرة الأولى التي يحاول فيها مستخدم جديد تسجيل الدخول، سيُطلب منه إجراء عملية التحقق من Duo Security مرة واحدة. ستمنحه الخدمة رابطًا خاصًا، وبعد ذلك يجب عليه إدخال رقم هاتفه وانتظار مكالمة التحقق. للحصول على مفاتيح إضافية (أو للحصول عليها لأول مرة)، يمكنك إدخال الكلمة الأساسية "الرسائل القصيرة". إذا كنت تريد المصادقة باستخدام مكالمة هاتفية، فأدخل "هاتف"، وإذا كنت تستخدم Duo Push، فأدخل "دفع". يمكن الاطلاع على سجل جميع محاولات الاتصال (الناجحة وغير الناجحة) بالخادم في حسابك على موقع Duo Security عن طريق تحديد التكامل المطلوب أولاً والانتقال إلى "سجل المصادقة" الخاص به.

قم بتوصيل Duo Security في أي مكان!

باستخدام المصادقة الثنائية، لا يمكنك حماية RDP أو SSH فحسب، بل يمكنك أيضًا حماية شبكات VPN وخوادم RADIUS وأي خدمات ويب. على سبيل المثال، هناك عملاء جاهزون يضيفون طبقة إضافية من المصادقة إلى المحركات الشهيرة Drupal وWordPress. إذا لم يكن هناك عميل جاهز، فلا تنزعج: يمكنك دائمًا إضافة مصادقة ثنائية لتطبيقك أو موقع الويب الخاص بك بنفسك باستخدام واجهة برمجة التطبيقات التي يوفرها النظام. منطق العمل مع واجهة برمجة التطبيقات بسيط - يمكنك تقديم طلب إلى عنوان URL لطريقة معينة وتحليل الاستجابة التي تم إرجاعها، والتي يمكن أن تأتي بتنسيق JSON (أو BSON، XML). الوثائق الكاملة لـ Duo REST API متاحة على الموقع الرسمي. سأقول فقط أن هناك طرقًا ping، check، preauth، auth، Status، من السهل تخمين الغرض منها من خلال اسمها.

حماية SSH

لنفكر في نوع آخر من التكامل - "تكامل UNIX" لتنفيذ المصادقة الآمنة. نضيف تكاملًا آخر إلى ملف تعريف Duo Security الخاص بنا ونواصل تثبيت العميل على النظام.

يمكنك تنزيل الكود المصدري للأخير على bit.ly/IcGgk0 أو الحصول عليه من القرص الخاص بنا. إستعملت احدث اصدار- 1.8. بالمناسبة، يعمل العميل على معظم منصات nix، لذا يمكن تثبيته بسهولة على FreeBSD وNetBSD وOpenBSD وMac OS X وSolaris/Illumos وHP-UX وAIX. تعتبر عملية الإنشاء قياسية - قم بتكوين && make && sudo make install. الشيء الوحيد الذي أوصي به هو استخدام التهيئة مع خيار --prefix=/usr، وإلا فقد لا يجد العميل المكتبات اللازمة عند البدء. بعد التثبيت بنجاح، انتقل إلى تحرير ملف التكوين /etc/duo/login_duo.conf. يجب أن يتم ذلك من الجذر. جميع التغييرات التي يجب إجراؤها للتشغيل الناجح هي تعيين قيم مفتاح التكامل، والمفتاح السري، واسم مضيف واجهة برمجة التطبيقات، والتي يمكن العثور عليها في صفحة التكامل.

; مفتاح التكامل الثنائي = INTEGRATION_KEY؛ مفتاح الثنائي السري = SECRET_KEY؛ Duo API hostnamehost = API_HOSTNAME

لإجبار جميع المستخدمين الذين يقومون بتسجيل الدخول إلى الخادم الخاص بك عبر SSH لاستخدام المصادقة الثنائية، ما عليك سوى إضافة السطر التالي إلى الملف /etc/ssh/sshd_config:

> ForceCommand /usr/local/sbin/login_duo

من الممكن أيضًا تنظيم المصادقة الثنائية للمستخدمين الفرديين فقط من خلال دمجهم في مجموعة وتحديد هذه المجموعة في ملف login_duo.conf:

> المجموعة = العجلة

لكي تدخل التغييرات حيز التنفيذ، كل ما تبقى هو إعادة تشغيل البرنامج الخفي ssh. من الآن فصاعدًا، بعد إدخال كلمة مرور تسجيل الدخول بنجاح، سيُطلب من المستخدم الخضوع لمصادقة إضافية. يجب ملاحظة دقة واحدة بشكل منفصل إعدادات سش- يوصى بشدة بتعطيل خياري PermitTunnel وAllowTcpForwarding في ملف التكوين، حيث يطبقهما البرنامج الخفي قبل بدء المرحلة الثانية من المصادقة. وبالتالي، إذا أدخل المهاجم كلمة المرور بشكل صحيح، فيمكنه الوصول إلى الشبكة الداخلية قبل اكتمال المرحلة الثانية من المصادقة بفضل إعادة توجيه المنفذ. لتجنب هذا التأثير، أضف الخيارات التالية إلى sshd_config:

PermitTunnel noAllowTcpForwarding no

الآن أصبح الخادم الخاص بك خلف جدار مزدوج وأصبح من الصعب جدًا على المهاجم الدخول إليه.

إعدادات إضافية

إذا قمت بتسجيل الدخول إلى حساب Duo Security الخاص بك وانتقلت إلى قسم "الإعدادات"، فيمكنك تعديل بعض الإعدادات بما يناسبك. القسم الأول المهم هو "المكالمات الهاتفية". يحدد هذا المعلمات التي ستكون سارية عند استخدام مكالمة هاتفية لتأكيد المصادقة. يتيح لك عنصر "مفاتيح رد الاتصال الصوتي" تحديد مفتاح الهاتف الذي يجب الضغط عليه لتأكيد المصادقة. افتراضيًا، القيمة هي "اضغط على أي مفتاح للمصادقة" - أي أنه يمكنك الضغط على أي مفتاح. إذا قمت بتعيين القيمة "اضغط على مفاتيح مختلفة للمصادقة أو الإبلاغ عن الاحتيال"، فستحتاج إلى تعيين مفتاحين: النقر على الأول يؤكد المصادقة (مفتاح المصادقة)، والنقر على الثاني (مفتاح الإبلاغ عن الاحتيال) يعني أننا لم يبدأ عملية المصادقة، أي أن شخصًا ما قد تلقى كلمة المرور الخاصة بنا ويحاول تسجيل الدخول إلى الخادم باستخدامها. يسمح لك عنصر "رموز مرور الرسائل القصيرة" بتعيين عدد رموز المرور التي ستحتوي عليها رسالة نصية واحدة وعمرها (صلاحيتها). تتيح لك معلمة "التأمين والاحتيال" تعيين عنوان البريد الإلكتروني الذي سيتم إرسال الإشعار إليه في حالة وجود عدد معين من المحاولات غير الناجحة لتسجيل الدخول إلى الخادم.

استخدمه!

من المثير للدهشة أن العديد من الأشخاص ما زالوا يتجاهلون المصادقة الثنائية. لا أفهم لماذا. وهذا حقا يعزز الأمن بشكل كبير. يمكن تطبيقه على أي شيء تقريبًا، وتتوفر الحلول المناسبة مجانًا. اذا لماذا؟ من الكسل أو الإهمال.

الخدمات التناظرية

• Signify (www.signify.net) توفر الخدمة ثلاثة خيارات لتنظيم المصادقة الثنائية. الأول هو استخدام المفاتيح الإلكترونية. الطريقة الثانية هي استخدام مفاتيح المرور، والتي يتم إرسالها إلى هاتف المستخدم عبر الرسائل القصيرة أو إرسالها إلى بريد إلكتروني. الخيار الثالث - تطبيق الجوالل هواتف أندرويدو iPhone و BlackBerry، الذي ينشئ كلمات مرور لمرة واحدة (وهي في الأساس نظير لـ Duo Mobile). تهدف الخدمة إلى الشركات الكبيرة، وبالتالي دفعت بالكامل.
• يتيح لك SecurEnvoy (www.securenvoy.com) أيضًا استخدام هاتفك المحمول كطبقة ثانية من الأمان. يتم إرسال مفاتيح المرور إلى المستخدم عبر الرسائل القصيرة أو البريد الإلكتروني. تحتوي كل رسالة على ثلاثة مفاتيح مرور، أي أنه يمكن للمستخدم تسجيل الدخول ثلاث مرات قبل طلب جزء جديد. يتم دفع الخدمة أيضًا، ولكنها توفر فترة مجانية مدتها 30 يومًا. الميزة المهمة هي العدد الكبير من عمليات التكامل الأصلية والجهات الخارجية.
• PhoneFactor (www.phonefactor.com) تتيح لك هذه الخدمة تنظيم مصادقة ثنائية مجانية لما يصل إلى 25 مستخدمًا، مما يوفر 500 مصادقة مجانية شهريًا. لتنظيم الحماية، ستحتاج إلى تنزيل عميل خاص وتثبيته. إذا كنت بحاجة إلى إضافة مصادقة ثنائية إلى موقعك، فيمكنك استخدام SDK الرسمي، الذي يوفر وثائق مفصلة وأمثلة للغات البرمجة التالية: ASP.NET C#، ASP.NET VB، Java، Perl، Ruby، PHP.

في إصدارات الخادم من نظام التشغيل Windows، هناك فرصة رائعة لاستخدام بيانات الاعتماد التي أدخلها المستخدم مسبقًا للاتصالات عند تسجيل الدخول إلى جهاز الكمبيوتر الخاص بك. وبهذه الطريقة، لا يتعين عليهم إدخال اسم المستخدم وكلمة المرور الخاصة بهم في كل مرة يقومون فيها بتشغيل تطبيق منشور أو مجرد تشغيل سطح مكتب بعيد. هذا الشيء يسمى الدخول الموحد باستخدام التكنولوجيا CredSSP(مزود خدمة أمان بيانات الاعتماد).

وصف

لكي ينجح هذا، يجب استيفاء الشروط التالية:

• يجب أن يكون الخادم الطرفي والعميل الذي يتصل به موجودين في المجال.
• يجب تكوين الخادم الطرفي على نظام التشغيل مشغل برامج وندوز 2008، ويندوز سيرفر 2008 R2 أو أعلى.
• يجب أن يكون جهاز الكمبيوتر العميل مثبتًا عليه نظام التشغيل التالي: Windows XP SP3 أو Windows Vista أو Windows Server 2008 أو Windows 7 أو Windows 8 أو Windows Server 2008 R2.

بالنسبة لنظام التشغيل Windows XP SP3، ستكون هناك حاجة إلى خطوات إضافية. من الضروري تثبيت إصلاح يسمح لك بتكوين إعدادات نظام التشغيل Windows XP SP3 من خلال سياسات المجموعة.
يمكن تنزيل هذا الإصلاح (MicrosoftFixit50588.msi) من وإلى موقعنا على الويب:

أولاً، قم بتعيين مستوى الأمان على الخادم الطرفي على وضع "التفاوض":

نقوم فيه بتكوين معلمتين: السماح بنقل بيانات الاعتماد الافتراضية والسماح بتفويض بيانات الاعتماد الافتراضية من خلال مصادقة الخادم "NTLM فقط"

السماح بتفويض بيانات الاعتماد الافتراضية باستخدام مصادقة خادم NTLM فقط - يلزم تكوينها فقط إذا لم تتم مصادقة الخادم الطرفي باستخدام Kerberos أو شهادة SSL.

ندخل هناك الخادم (الخوادم) الذي نريد السماح للمستخدمين به دون إعادة إدخال معلومات تسجيل الدخول وكلمة المرور الخاصة بهم. يمكنك إدخالها عن طريق القناع، أو بشكل فردي. المساعدة تقول ذلك بالتفصيل.

بعد ذلك، نقوم بتطبيق السياسة على جهاز الكمبيوتر (أجهزة الكمبيوتر) المطلوبة والتحقق من السماح للمستخدمين بالوصول إلى الخوادم الطرفية المحددة في السياسات أعلاه دون إدخال معلومات تسجيل الدخول وكلمة المرور.

الكسندر أنتيبوف

توفر المقالة نظرة عامة على خوارزمية التشغيل لتقنية التفويض الشفاف لتسجيل الدخول الموحد وموفر خدمة الأمان Credential Security Service Provider (CredSSP). يتم النظر في طريقة إعداد أجزاء العميل والخادم.

إحدى المضايقات الرئيسية التي يواجهها المستخدم عند تشغيل سطح مكتب بعيد أو تطبيق منشور على خادم طرفي هي الحاجة إلى إدخال بيانات الاعتماد الخاصة به. في السابق، تم استخدام آلية لحفظ بيانات الاعتماد في إعدادات عميل Remote Desktop لحل هذه المشكلة. لكن هذه الطريقةله عدة عيوب كبيرة. على سبيل المثال، عند تغيير كلمة المرور بشكل دوري، كان من الضروري تغييرها يدويًا في إعدادات العميل الطرفية.

في هذا الصدد، لتبسيط العمل مع سطح المكتب البعيد في Windows Server 2008، أصبح من الممكن استخدام تقنية التفويض الشفاف لتسجيل الدخول الموحد (SSO). بفضله، يمكن للمستخدم، عند تسجيل الدخول إلى الخادم الطرفي، استخدام بيانات الاعتماد التي أدخلها عند تسجيل الدخول إلى جهاز الكمبيوتر المحلي الخاص به، والذي يتم تشغيل عميل سطح المكتب البعيد منه.

توفر المقالة نظرة عامة على خوارزمية التشغيل لتقنية التفويض الشفاف لتسجيل الدخول الموحد وموفر خدمة الأمان Credential Security Service Provider (CredSSP). يتم النظر في طريقة إعداد أجزاء العميل والخادم. يتم أيضًا تناول عدد من المشكلات العملية المتعلقة بالترخيص الشفاف لخدمات سطح المكتب البعيد.

المعلومات النظرية

تتيح لك تقنية الدخول الموحد (SSO) حفظ بيانات اعتماد المستخدم ونقلها تلقائيًا عند الاتصال بخادم طرفي. باستخدام سياسات المجموعة، يمكنك تحديد الخوادم التي سيتم استخدام طريقة التفويض هذه لها. في هذه الحالة، بالنسبة لجميع الخوادم الطرفية الأخرى، سيتم تسجيل الدخول بالطريقة التقليدية: عن طريق إدخال اسم المستخدم وكلمة المرور.

ظهرت آليات الترخيص الشفافة لأول مرة في Windows Server 2008 وWindows Vista. بفضل مزود الأمان الجديد CredSSP. لقد سمح بنقل بيانات الاعتماد المخزنة مؤقتًا عبر قناة آمنة (باستخدام Transport Layer Security (TLS)). أصدرت Microsoft لاحقًا التحديثات المقابلة لنظام التشغيل Windows XP SP3.

دعونا ننظر إلى هذا بمزيد من التفصيل. يمكن استخدام CredSSP في السيناريوهات التالية:

• ل طبقة الشبكةالمصادقة (NLA)، مما يسمح بالتعرف على المستخدم من قبل التثبيت الكاملروابط؛
• بالنسبة لتسجيل الدخول الموحد (SSO)، تخزين بيانات اعتماد المستخدم وتمريرها إلى الجهاز.

عند استعادة جلسة داخل مزرعة، يعمل CredSSP على تسريع عملية إنشاء الاتصال، لأنه يحدد الخادم الطرفي المستخدم دون إنشاء اتصال كامل (على غرار NLA).

تتبع عملية المصادقة الخوارزمية التالية:

يبدأ العميل في إنشاء قناة آمنة مع الخادم باستخدام TLS. يمنحه الخادم شهادته التي تحتوي على الاسم والمرجع المصدق والمفتاح العام. يمكن أن تكون شهادة الخادم موقعة ذاتيًا.

يتم إنشاء جلسة بين الخادم والعميل. يتم إنشاء مفتاح مناسب له، والذي سيشارك لاحقًا في التشفير. يستخدم CredSSP بروتوكول التفاوض البسيط والمحمي (SPNEGO) للمصادقة المتبادلة بين الخادم والعميل بحيث يمكن لكل منهما أن يثق في الآخر. تسمح هذه الآلية للعميل والخادم باختيار آلية المصادقة (مثل Kerberos أو NTLM).

للحماية من الاعتراض، يقوم العميل والخادم بتشفير شهادة الخادم بالتناوب باستخدام مفتاح الجلسة وإرسالها إلى بعضهما البعض.

إذا تطابقت نتائج التبادل والشهادة الأصلية، يرسل CredSSP على العميل بيانات اعتماد المستخدم إلى الخادم.

وبالتالي، يتم نقل بيانات الاعتماد عبر قناة مشفرة مع حماية ضد الاعتراض.

إعدادات

يعد موفر خدمة الأمان CredSSP جزءًا من نظام التشغيل وهو مضمن في Windows Vista وWindows Server 2008 وWindows 7 وWindows Server 2008 R2. بالإضافة إلى ذلك، يمكن تثبيته كتحديث منفصل لنظام التشغيل Windows XP SP3. تم وصف هذه العملية بالتفصيل في المقالة "وصف موفر دعم أمان بيانات الاعتماد (CredSSP) في نظام التشغيل Windows XP Service Pack 3" لتثبيت CredSSP وتمكينه على نظام التشغيل Windows XP SP3، يجب عليك إكمال الخطوات التالية.

1. قم بتشغيل محرر التسجيل regedit وانتقل إلى الفرع: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. أضف قيمة tspkg إلى مفتاح حزم الأمان

3. انتقل إلى فرع التسجيل: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. أضف قيمة credssp.dll إلى مفتاح SecurityProviders (يجب ترك القيم المتبقية لهذا المفتاح دون تغيير).

بعد تمكين CredSSP، تحتاج إلى تكوين استخدامه باستخدام سياسات المجموعة أو مفاتيح التسجيل المقابلة. لتكوين الدخول الموحّد (SSO) على أجهزة الكمبيوتر العميلة، استخدم سياسات المجموعة من القسم:

تكوين الكمبيوتر\القوالب الإدارية\النظام\تفويض بيانات الاعتماد.

في إصدارات أنظمة التشغيل باللغة الروسية يبدو الأمر هكذا (الشكل 1).

أرز. 1. إدارة نقل بيانات الاعتماد باستخدام سياسات المجموعة

لاستخدام الدخول الموحّد (SSO)، يجب عليك تمكين السياسة:

السماح بتمرير بيانات الاعتماد الافتراضية.

بالإضافة إلى ذلك، بعد التمكين، يجب عليك تحديد الخوادم التي سيتم استخدام طريقة التفويض هذه فيها. للقيام بذلك، يجب عليك تنفيذ الخطوات التالية.

في نافذة تحرير السياسة (الشكل 2)، انقر فوق الزر "إظهار".

أرز. 2. نافذة تحرير نهج المجموعة

أضف قائمة بالخوادم الطرفية (الشكل 3).

أرز. 3. إضافة خادم طرفي للحصول على ترخيص شفاف

يحتوي سطر إضافة الخادم على التنسيق التالي:

TERMSRV/server_name .

يمكنك أيضًا تحديد الخوادم حسب قناع المجال. في هذه الحالة يأخذ السطر الشكل:

TERMSRV/*.domain_name .

إذا لم يكن من الممكن استخدام سياسات المجموعة، فيمكن ضبط الإعدادات المناسبة باستخدام محرر التسجيل. على سبيل المثال، ل إعدادات ويندوز XP Sp3 يمكنك استخدام ملف التسجيل التالي:

محرر سجل ويندوز الإصدار 5.00

"حزم الأمان"=ست عشري (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6ب,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll,Digest.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

هنا، بدلاً من mydomain.com، يجب عليك استبدال اسم المجال. في هذه الحالة، عند الاتصال بالخوادم الطرفية، اسم النطاق(على سبيل المثال، termserver1.mydomain.com) سيتم استخدام التفويض الشفاف.

لاستخدام تقنية الدخول الموحد على خادم طرفي، يجب عليك تنفيذ الخطوات التالية.

افتح وحدة تحكم تكوين الخدمات الطرفية (tsconfig.msc).

في قسم الاتصال، انتقل إلى خصائص RDP-Tcp.

في علامة التبويب "عام"، اضبط مستوى الأمان على "التفاوض" أو "SSL (TLS 1.0)" (الشكل 4).

أرز. 4. ضبط مستوى الأمان على الخادم الطرفي

عند هذه النقطة، يمكن اعتبار إعداد أجزاء العميل والخادم مكتملًا.

معلومات عملية

في هذا القسم، سننظر في القيود المفروضة على استخدام تقنية التفويض الشفاف والمشكلات التي قد تنشأ عند استخدامها.

• تعمل تقنية الدخول الموحد فقط عند الاتصال من أجهزة كمبيوتر تعمل بأنظمة تشغيل غير Windows XP SP3 والإصدارات الأقدم. أجهزة الكمبيوتر مع نظام التشغيلويندوز فيستا، ويندوز سيرفر 2008، ويندوز 7 وويندوز سيرفر 2008 R2.
• إذا تعذرت مصادقة الخادم الطرفي الذي يتم الاتصال به عبر Kerberos أو شهادة SSL، فلن يعمل تسجيل الدخول الموحد (SSO). يمكن تجاوز هذا القيد باستخدام السياسة التالية:
  السماح بتفويض بيانات الاعتماد لتعيين مصادقة الخادم الافتراضية "NTLM فقط".
• تشبه خوارزمية تمكين وتكوين سياسة المجموعة هذه تلك الموضحة أعلاه. يبدو ملف التسجيل المطابق لهذا الإعداد كما يلي:

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.mydomain.com"

تعتبر المصادقة باستخدام هذه الطريقة أقل أمانًا من استخدام الشهادات أو Kerberos.

• إذا تم حفظ بيانات الاعتماد الخاصة بالخادم في إعدادات العميل الطرفي، فستكون لها أولوية أعلى من بيانات الاعتماد الحالية.
• يعمل الدخول الموحد فقط عند استخدام حسابات المجال.
• إذا كان الاتصال بالخادم الطرفي يتم عبر TS Gateway، ففي بعض الحالات، قد تكون لإعدادات خادم TS Gateway الأسبقية على إعدادات SSO الخاصة بالعميل الطرفي.
• إذا تم تكوين الخادم الطرفي للمطالبة ببيانات اعتماد المستخدم في كل مرة، فلن يعمل تسجيل الدخول الموحد (SSO).
• تعمل تقنية التفويض الشفاف فقط مع كلمات المرور. إذا كنت تستخدم البطاقات الذكية، فلن تعمل.

لكي يعمل تسجيل الدخول الموحّد (SSO) بشكل صحيح على نظام التشغيل Windows XP SP، يوصى بتثبيت إصلاحين من KB953760: "عند تمكين تسجيل الدخول الموحّد (SSO) لخادم طرفي من جهاز كمبيوتر عميل يستند إلى نظام التشغيل Windows XP SP3، ستظل تتم مطالبتك ببيانات اعتماد المستخدم عند تسجيل الدخول إلى الخادم الطرفي ».

في بعض الحالات، من الممكن أن تعمل تقنية التفويض الشفاف أو لا تعمل على نفس العميل الطرفي، اعتمادًا على ملف تعريف المستخدم المتصل. تم حل المشكلة عن طريق إعادة إنشاء ملف تعريف المستخدم. إذا كانت هذه مهمة تستغرق وقتًا طويلاً جدًا، فيمكنك محاولة استخدام النصائح من المناقشة: "تسجيل الدخول الموحد (SSO) لـ RemoteApp من عميل Windows 7» منتديات مايكروسوفت تكنيت . على وجه الخصوص، يوصى بإعادة ضبط الإعدادات متصفح الانترنتأو الموافقة على الإضافة المناسبة لها.

أحد القيود الرئيسية الأخرى لتقنية SSO هو أنها لا تعمل عند تشغيل التطبيقات المنشورة من خلال TS Web Access. في هذه الحالة، يضطر المستخدم إلى إدخال بيانات الاعتماد مرتين: عند تسجيل الدخول إلى واجهة الويب وعند التفويض على الخادم الطرفي.

في Windows Server 2008 R2 تغير الوضع نحو الأفضل. أكثر معلومات مفصلةيمكن العثور على هذا في المقالة: "تقديم الدخول الموحد للويب لاتصالات RemoteApp وسطح المكتب" ».

خاتمة

تتناول المقالة تقنية التفويض الشفاف على الخوادم الطرفية لتسجيل الدخول الموحد. يتيح لك استخدامه تقليل الوقت الذي يقضيه المستخدم في تسجيل الدخول إلى الخادم الطرفي وتشغيل التطبيقات عن بعد. بالإضافة إلى ذلك، بمساعدتها، يكفي إدخال بيانات الاعتماد الخاصة بك مرة واحدة عند تسجيل الدخول إلى جهاز الكمبيوتر المحلي الخاص بك ثم استخدامها عند الاتصال الخوادم الطرفيةاِختِصاص. تعتبر آلية نقل بيانات الاعتماد آمنة تمامًا، كما أن إعداد أجزاء الخادم والعميل بسيط للغاية.