Kaksoispanssarin takana. Kuinka määrittää etäkäyttö RDP Rdp -sisäänkirjautumisen kautta henkilökohtaisen varmenteen avulla

Varmasti monet teistä ovat jo kuulleet ja nähneet tämän lyhenteen - se tarkoittaa kirjaimellisesti Remote Desktop Protocol -protokollaa. Jos jotakuta kiinnostaa tämän sovellustason protokollan toiminnan tekniset hienoudet, hän voi lukea kirjallisuutta, alkaen samasta Wikipediasta. Otamme huomioon puhtaasti käytännön näkökohdat. Nimittäin se, että tämän protokollan avulla voit muodostaa etäyhteyden alla oleviin tietokoneisiin Windowsin ohjaus eri versioita sisäänrakennetun avulla Windows-työkalu"Yhdistetään etätyöpöytään."

Mitkä ovat RDP-protokollan käytön edut ja haitat?

Aloitetaan miellyttävistä – ammattilaisista. Etuna on, että tämä työkalu, joka on oikeammin nimeltään RDP Client, on kaikkien Windows-käyttäjien käytettävissä sekä tietokoneella, josta kaukosäädintä hallitaan, että niille, jotka haluavat avata etäkäytön tietokoneelleen.

Etätyöpöytäyhteyden kautta on mahdollista paitsi nähdä etätyöpöytä ja käyttää etätietokoneen resursseja, myös muodostaa yhteyden siihen paikalliset levyt, tulostimet, älykortit jne. Tietenkin, jos haluat katsoa videota tai kuunnella musiikkia RDP:n kautta, tämä prosessi ei todennäköisesti tarjoa sinulle iloa, koska... useimmissa tapauksissa näet diaesityksen ja ääni todennäköisesti keskeytyy. Mutta RDP-palvelua ei kehitetty näihin tehtäviin.

Toinen kiistaton etu on, että yhteys tietokoneeseen tapahtuu ilman lisäohjelmia, jotka ovat enimmäkseen maksullisia, vaikka niillä on omat etunsa. RDP-palvelimen (joka on etätietokoneesi) käyttöaika on rajoitettu vain sinun toiveesi mukaan.

Miinuksia on vain kaksi. Toinen on merkittävä, toinen ei niin paljon. Ensimmäinen ja olennainen on, että toimiakseen RDP:n kanssa tietokoneella, johon yhteys muodostetaan, on oltava valkoinen (ulkoinen) IP tai portti on voitava "edellä" reitittimestä tähän tietokoneeseen, jolla taas täytyy olla ulkoinen IP. Onko se staattista vai dynaamista, sillä ei ole väliä, mutta sen täytyy olla.

Toinen haittapuoli ei ole niin merkittävä - asiakkaan uusimmat versiot eivät enää tue 16 värin värimaailmaa. Minimi - 15 bittiä. Tämä hidastaa huomattavasti RDP:tä, kun muodostat yhteyden hidastuneen, kuolleen Internetin kautta nopeudella, joka ei ylitä 64 kilobittiä sekunnissa.

Mihin voit käyttää etäkäyttöä RDP:n kautta?

Organisaatiot käyttävät yleensä RDP-palvelimia yhteistyötä 1C-ohjelmassa. Ja jotkut jopa käyttävät käyttäjien työasemia niihin. Näin ollen käyttäjä, varsinkin jos hänellä on matkatyö, voi, jos hänellä on 3G-internet tai hotelli/kahvila Wi-Fi, muodostaa etäyhteyden työpaikalleen ja ratkaista kaikki ongelmat.

Joissakin tapauksissa kotikäyttäjät voivat käyttää etäkäyttöä omaan kotitietokone saada tietoja kotiresursseista. Periaatteessa etätyöpöytäpalvelu mahdollistaa täydellisen työskentelyn tekstin, suunnittelun ja graafiset sovellukset. Yllä mainituista syistä se ei toimi videon ja äänen käsittelyn kanssa, mutta se on silti erittäin merkittävä plus. Voit myös tarkastella yrityksen käytännön sulkemia resursseja työpaikalla muodostamalla yhteyden kotitietokoneeseesi ilman anonymisoijia, VPN:ää tai muita pahoja henkiä.

Internetin valmistelu

Edellisessä osiossa puhuimme siitä, että etäkäytön mahdollistamiseksi RDP:n kautta tarvitsemme ulkoisen IP-osoitteen. Palveluntarjoaja voi tarjota tämän palvelun, joten soitamme tai kirjoitamme tai menemme osoitteeseen Henkilökohtainen alue ja järjestä tämän osoitteen ilmoittaminen. Ihannetapauksessa sen pitäisi olla staattinen, mutta periaatteessa voit elää dynaamisten kanssa.

Jos joku ei ymmärrä terminologiaa, staattinen osoite on vakio ja dynaaminen osoite vaihtuu aika ajoin. Jotta dynaamisten IP-osoitteiden kanssa voidaan toimia täysin, on keksitty erilaisia ​​palveluita, jotka tarjoavat dynaamisen verkkotunnuksen sidonnan. Mitä ja miten, tästä aiheesta tulee pian artikkeli.

Reitittimen valmistelu

Jos tietokoneesi ei ole kytketty suoraan ISP-kaapeliin Internetiin, vaan reitittimen kautta, meidän on myös suoritettava joitain manipulaatioita tällä laitteella. Nimittäin välitä palveluportti - 3389. Muuten reitittimesi NAT ei yksinkertaisesti päästä sinua sisään. kotiverkko. Sama koskee RDP-palvelimen määrittämistä organisaatiossa. Jos et tiedä, kuinka porttia edelleen lähetetään, lue artikkeli Porttien välittämisestä reitittimessä (avautuu uuteen välilehteen) ja palaa sitten tänne.

Tietokoneen valmistelu

Jotta voit luoda etäyhteyden tietokoneeseen, sinun on tehtävä täsmälleen kaksi asiaa:

Salli yhteys Järjestelmän ominaisuudet -kohdassa;
- aseta salasana nykyiselle käyttäjälle (jos hänellä ei ole salasanaa) tai luo uusi käyttäjä, jolla on salasana erityisesti RDP:n kautta yhdistämistä varten.

Päätä itse, mitä teet käyttäjän kanssa. Muista kuitenkin, että muut kuin palvelinkäyttöjärjestelmät eivät tue natiivisti useita kirjautumisia. Nuo. jos kirjaudut sisään paikallisesti (konsoli) ja kirjaudut sitten sisään samana käyttäjänä etänä, paikallinen näyttö lukitaan ja istunto samassa paikassa avautuu Etätyöpöytäyhteys-ikkunaan. Jos annat salasanan paikallisesti poistumatta RDP:stä, sinut poistetaan etäkäytöstä ja näet nykyisen näytön paikallisella näytölläsi. Sama odottaa sinua, jos kirjaudut sisään konsoliin yhtenä käyttäjänä ja yrität kirjautua etänä toisena käyttäjänä. Tässä tapauksessa järjestelmä kehottaa sinua lopettamaan paikallisen käyttäjän istunnon, mikä ei välttämättä aina ole kätevää.

Joten mene Käynnistä-kohtaan, napsauta hiiren kakkospainikkeella Tietokone-valikkoa ja napsauta Ominaisuudet.

Valitse Järjestelmän ominaisuuksista Lisävaihtoehdot järjestelmät

Siirry avautuvassa ikkunassa Etäkäyttö-välilehteen...

...klikkaa Lisää...

Ja valitse tämän sivun ainoa valintaruutu.

Tämä on "kotitekoista" Windows-versio 7 - niillä joilla on Pro tai uudempi, on enemmän valintaruutuja ja pääsy on mahdollista erottaa.

Napsauta OK kaikkialla.

Nyt voit siirtyä kohtaan Remote Desktop Connection (Käynnistä> Kaikki ohjelmat> Apuohjelmat), kirjoittaa siihen tietokoneen IP-osoitteen tai nimen, jos haluat muodostaa yhteyden siihen kotiverkostasi ja käyttää kaikkia resursseja.

Kuten tämä. Periaatteessa kaikki on yksinkertaista. Jos sinulla on yhtäkkiä kysyttävää tai jokin jää epäselväksi, tervetuloa kommentteihin.

Lyhyesti: voit määrittää kaksivaiheisen todennuksen päätepalvelimeen pääsyä varten. MS Remote Desktop Connection- tai Remote Desktop Web Connection -apuohjelman avulla voit helposti muodostaa yhteyden etätyöpöytään USB-avaimen (token) avulla.

Kuinka Rohos Logon Key toimii etätyöpöydän kanssa.

Rohos Logon Key integroituu Windows Terminal Services -valtuutusprosessiin ja lisää kaksivaiheisen todennuskerroksen olemassa olevaan järjestelmän kulunvalvontainfrastruktuuriin. Rohos-sisäänkirjautumisavaimen määrittämisen jälkeen käyttäjät voivat kirjautua etätyöpöydälle joko käyttämällä vain USB-avainta tai käyttämällä USB-avainta ja salasanaa.

Päätepalvelinsuojauksen edut.

• Menetelmän avulla voit rajoittaa etäkäyttöä tietyille käyttäjille tai käyttäjäluettelolle.
• Tällaisten käyttäjien on asetettava USB-avain tai syötettävä OTP-koodi joka kerta.
• Jokainen avain on ainutlaatuinen, eikä sitä voi väärentää
• USB-avainta ei tarvitse liittää suoraan palvelimeen asennuksen yhteydessä.
• Ohjelmaa ei tarvitse asentaa jokaiseen tietokoneeseen, josta käytät*.
• Järjestelmänvalvojan on vain määritettävä esiasetukset ja annettava käyttäjälle USB-avain pääsyä varten.

Lisää turvallisuutta sähköisen USB-avaimen tai kertaluonteisten salasanojen avulla:

• Windows+ USB-avaimen salasana, kuten SafeNet, eToken, iKey, ePass ja muut, joissa on PKCS#11-tuki.
• Windowsin salasana + USB-salama harjoittaja.
• Windows-salasana + OTP-koodi lähetetty tekstiviestillä osoitteeseen kännykkä käyttäjä.
• Ikkunan salasana + OTP-koodi Google-ohjelmat Authenticator asennettuna käyttäjän älypuhelimeen.
• Vain USB-avaimen salattu salasana.
• elektroninen USB-avain + avaimen PIN-koodi;
• Elektroninen USB-avain + Key PIN + Windowsin salasana;

Ennen kuin aloitat Rohos-kirjautumisavaimen määrityksen, sinun on päätettävä:

• minkä tyyppistä USB-avainta käytetään valtuutukseen;
• minkä tyyppistä todennusta haluat käyttää:
  1) kaksitekijä = USB-avain + Windows-salasana,
  2) yksikerroinen = USB-avain (tämä sisältää myös USB-avain + PIN-avainvaihtoehdon, jos saatavilla),
  3) käytä USB-avainta vain paikallisessa tietokoneessa. Tässä tapauksessa päätepalvelin ei tarkista, onko asiakkaalla USB-avain.

Päätepalvelimen todennusmenetelmä	USB-avaimen tyyppi	Rohos Logon Key -ohjelmiston asentaminen asiakas- ja päätepalvelimelle
		Windows Vista/7/8 asiakas	TS Server Windows Server 2008/2012
1) Kaksivaiheinen todennus (USB-avain ja Windows-salasana).	USB-tunnukset (PKCS#11) Älykortit Google Authenticator Yubikey USB muistitikku*
2) Yksivaiheinen todennus (vain USB-avain)	USB muistitikku USB-tunnukset (PKCS#11) Älykortit++3)
3) USB-avainta käytetään mukavuuden vuoksi. Päätepalvelin ei tarkista USB-avaimen olemassaoloa.	Mikä tahansa USB-avain

* Jos käytät USB-muistitikkua pääsyavaimena, sinun on asennettava jompikumpi kahdesta ohjelmasta asiakkaan tietokoneelle: joko ohjelma tai . Palvelimelle avaimen luomisen aikana se kopioidaan USB-asemaan, mikä varmistaa USB-aseman käytön avaimena yhteyden muodostamiseen Remote Desktopiin. Tätä kannettavaa komponenttia voidaan käyttää muissa työasemissa, joita käytetään etäyhteyden muodostamiseen palvelimeen.

Kun olet päättänyt USB-avaimen tyypin ja kaksivaiheisen todennustavan, voit aloittaa Rohos Logon Key -avaimen asennuksen.

USB-avaintyypit ja tekniikat, jotka soveltuvat todennukseen etätyöpöydän kautta Rohos Logon Key -ohjelmalla:

Älykortit, Java-kortit (Mifare 1K)

PKCS11-pohjaiset tunnukset. Esimerkiksi SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.

Yubikey- ja OTP-tunnukset, kuten Google Authenticator

USB-muistitikkuja. Tässä tapauksessa avaimen luomisen jälkeen ohjelman kannettava komponentti kopioidaan USB-asemaan.

Yhteyden valmistelun vaiheet Rohos Logon Key -ohjelmalla:

1. Asenna Rohos Logon Key -ohjelma päätepalvelimelle. Määritä ohjelman asetuksissa USB-avaimen tyyppi.

2. Asenna Rohos Management Tools -paketti tietokoneeseen, josta pääset etätyöpöydälle avainten luomista varten.

3. Avainten luominen pääsyä varten RDC:n kautta:

Liitä tuleva USB-avain paikalliseen tietokoneeseen. Yhdistä päätepalvelimeen RDC:n kautta. Määritä Remote Desktop -ohjelman asetuksissa, mitkä paikalliset resurssit ( USB-asemat tai älykortit) tulee toimittaa etätietokoneeseen.

Suorita Rohos Logon Key -ohjelma päätepalvelimella. Käytä Setup a key -komentoa, määritä käyttäjä, jolle luot avaimen ja kirjoita tarvittaessa sen salasana.

Huomautus: Jotkut USB-tyypit Avaimet voidaan luoda USB-avainhallintaohjelmassa Rohos Managment Tools -paketista. Tämä paketti on asennettu järjestelmänvalvojan tietokoneeseen. Kun olet luonut kaikki avaimet tässä ohjelmassa, sinun on vietävä niiden luettelo päätepalvelimelle. . Samassa ohjelmassa on painike, johon kopioidaan USB-asema ohjelmia.

4. Rohos-kirjautumisavaimen määrittäminen päätepalvelimelle:

Kun olet luonut kaikki avaimet, voit vahvistaa palvelimen turvallisuutta estämällä tiettyjä käyttäjiä käyttämästä sitä ilman USB-avainta. Avaa Rohos Logon Key -ohjelman asetukset, Salli pääsy vain USB-avainluettelon avulla.

Vaihtoehdot:

• Ei mitään
  Kaikki käyttäjät voivat kirjautua sisään joko salasanalla tai USB:n avulla avain Tätä kokoonpanoa ei suositella päätepalvelimelle.
• Kaikille käyttäjille
  Tämä vaihtoehto on samanlainen kuin vanha Salli kirjautuminen vain USB-avaimella -vaihtoehto. Kaikkien käyttäjien on käytettävä USB-avainta Windowsiin kirjautumiseen tai lukituksen avaamiseen.
• Luetteloille käyttäjille
  Vain luettelossa olevien käyttäjien on kirjauduttava sisään USB-avaimella. Kaikki muut käyttäjät voivat kirjautua sisään salasanalla. Luettelo luodaan automaattisesti, kun käyttäjälle luodaan USB-avain. USB-avaimen käyttäjänimi lisätään tähän luetteloon. Lisäksi käyttäjäluettelo ja avaimet voidaan tuoda toiselta tietokoneelta. Tietysti vain järjestelmänvalvoja voi tehdä tämän.
• Rohos-käyttäjäryhmälle Active Directoryssa
  Jokaisen rohos-ryhmän käyttäjän on käytettävä USB-avainta.
  Huomio: Active Directory -järjestelmänvalvojan on luotava rohos-käyttäjäryhmä.
• Kirjautuminen etätyöpöydälle
  Paikalliset käyttäjät voivat kirjautua sisään USB-avaimella tai ilman. Etäkirjautuminen on mahdollista vain USB-avaimella. Tämä vaihtoehto on ihanteellinen päätepalvelimen turvallisuuden vahvistamiseen.
• Etätyöpöytäkirjautuminen lähiverkon ulkopuolella
  Käyttäjät sisään paikallinen verkko voi kirjautua päätepalvelimelle ilman avainta. Vain puhelinverkkoyhteydellä, DSL-yhteyksillä tai muista verkoista kirjautuvien käyttäjien on käytettävä USB-avaimia.

Etätyöpöytäyhteys

Kun yhteys on muodostettu, näemme tämän verkon tunnistusvalintaikkunan.

Sinun on valittava käyttäjätunnus ja syötettävä salasana tili TS:ssä.

Jos salasanan todennus onnistuu, yhteys etätyöpöytään muodostuu. Tässä vaiheessa Rohos Logon Key tarkistaa käyttäjän USB-avaimen olemassaolon.

Rohos-kirjautumisavain voi estää pääsyn, jos USB-avainta ei ole kytketty:

Jos käytetään kertaluonteisella salasanalla varustettua tunnusta, näkyviin tulee ikkuna sen syöttämistä varten.

Kannettava Rohos-kirjautumisavain

Ohjelma auttaa sinua, jos käytät USB-muistitikkua, mutta et voi tai halua asentaa sitä paikallinen tietokone ei Rohos Logon Key tai Rohos Management -työkaluja. Tämä komponentti kopioidaan automaattisesti USB-muistitikulle avaimen luomisen yhteydessä päätepalvelimella. Vaihtoehtoisesti se voidaan saada juoksemalla USB-ohjelma Key Manager Pro -lisenssi - pääsyä varten etätyöpöydän kautta verkkotietokoneeseen (ei päätepalvelimeen) sekä käytettäväksi toimialueella.

Palvelimen lisenssi – suunniteltu erityisesti päätepalvelimelle (Windows 2003, 2008, 2012, pääsy etätyöpöydän kautta)

Kokeile Rohos Logon Key -avainta ilmaiseksi 15 päivän ajan. Rohosin kirjautumisavain.

Tämän ajan jälkeen ohjelma toimii myös, mutta muistuttaa rekisteröitymisestä.

Jos tietojesi pääsyn ainoa este on salasana, olet suuressa vaarassa. Passi voidaan hakkeroida, siepata, varastaa troijalaisen toimesta tai kalastaa sosiaalisen manipuloinnin avulla. Kaksivaiheisen todennuksen käyttämättä jättäminen tässä tilanteessa on melkein rikos.

Olemme jo puhuneet kertakäyttöisistä avaimista useammin kuin kerran. Merkitys on hyvin yksinkertainen. Jos hyökkääjä jollakin tavalla onnistuu saamaan kirjautumissalasanasi, hän pääsee helposti sähköpostiisi tai muodostaa yhteyden etäpalvelin. Mutta jos tiellä on lisätekijä, esimerkiksi kertakäyttöinen avain (kutsutaan myös OTP-avaimeksi), mikään ei toimi. Vaikka tällainen avain joutuisi hyökkääjän käsiin, sitä ei enää voi käyttää, koska se on voimassa vain kerran. Tämä toinen tekijä voi olla lisäpuhelu, tekstiviestillä vastaanotettu koodi, puhelimeen luotu avain tietyillä kellonaikaan perustuvilla algoritmeilla (aika on tapa synkronoida algoritmi asiakkaalla ja palvelimella). Sama Google jo on jo pitkään suositellut käyttäjiään ottamaan käyttöön kaksivaiheisen todennuksen (muutamalla napsautuksella tiliasetuksissa). Nyt on aika lisätä tällainen suojakerros palveluihisi!

Mitä Duo Security tarjoaa?

Triviaali esimerkki. Tietokoneessani on RDP-portti auki "ulkopuolella" etäyhteyttä varten työpöydälle. Jos kirjautumissalasana vuotaa, hyökkääjä saa sen välittömästi täysi pääsy autoon. Siksi OTP-salasanasuojauksen vahvistamisesta ei ollut kysymys - se oli vain tehtävä. Oli typerää keksiä pyörä uudelleen ja yrittää toteuttaa kaikkea itse, joten katsoin vain markkinoilla olevia ratkaisuja. Suurin osa niistä osoittautui kaupallisiksi (lisätietoja sivupalkissa), mutta pienelle määrälle käyttäjiä niitä voi käyttää ilmaiseksi. Juuri mitä tarvitset kotiisi. Yksi menestyneimmistä palveluista, jonka avulla voit järjestää kaksivaiheisen todennuksen kirjaimellisesti mille tahansa (mukaan lukien VPN, SSH ja RDP), osoittautui Duo Securityksi (www.duosecurity.com). Sen houkuttelevuutta lisäsi se, että hankkeen kehittäjä ja perustaja on John Oberheid, tunnettu asiantuntija tietoturva. Hän esimerkiksi erotti protokollan Googlen viestintä kanssa Android-älypuhelimet, jolla voit asentaa tai poistaa mielivaltaisia ​​sovelluksia. Tämä perusta tuntuu: näyttääkseen kaksivaiheisen autentikoinnin tärkeyden, kaverit lanseerasivat VPN-palvelu Hunter (www.vpnhunter.com), joka voi nopeasti löytää yrityksen piilotetut VPN-palvelimet (ja samalla määrittää niiden laitteiden tyypin), etäkäyttöpalvelut (OpenVPN, RDP, SSH) ja muut infrastruktuurielementit, jotka mahdollistaa hyökkääjän pääsyn sisäiseen verkkoon yksinkertaisesti tuntemalla käyttäjätunnuksen ja salasanan. Hassua, että palvelun virallisessa Twitterissä omistajat alkoivat julkaista päivittäisiä raportteja tunnettujen yritysten skannauksesta, minkä jälkeen tili kiellettiin :). Duo Security -palvelu on luonnollisesti suunnattu ensisijaisesti kaksivaiheisen todennuksen käyttöönottamiseksi yrityksissä, joissa on paljon käyttäjiä. Onneksi meille on mahdollista luoda ilmainen Personal-tili, jolla voit järjestää kaksivaiheisen todennuksen kymmenelle käyttäjälle ilmaiseksi.

Mikä voisi olla toinen tekijä?

Seuraavaksi tarkastelemme, kuinka voit vahvistaa etätyöpöytäyhteytesi ja SSH:n turvallisuutta palvelimellasi vain kymmenessä minuutissa. Mutta ensin haluan puhua lisävaiheesta, jonka Duo Security ottaa käyttöön toisena valtuutustekijänä. Vaihtoehtoja on useita: puhelu, SMS salasanalla, Duo Mobile -salasanat, Duo Push, elektroninen avain. Jokaisesta hieman enemmän.

Kuinka kauan voin käyttää sitä ilmaiseksi?

Kuten jo mainittiin, Duo Security tarjoaa erikoisen tariffisuunnitelma"Henkilökohtainen". Se on täysin ilmainen, mutta käyttäjien määrä ei saa olla yli kymmenen. Tukee rajoittamattoman määrän integraatioita, kaikkia saatavilla olevia todennusmenetelmiä. Tarjoaa tuhansia ilmaisia ​​luottoja puhelinpalveluihin. Hyvitykset ovat kuin sisäinen valuutta, joka veloitetaan tililtäsi aina, kun todennus tapahtuu puhelun tai tekstiviestin avulla. Tiliasetuksissa voit asettaa sen niin, että kun saavutat tietyn luottomäärän, saat ilmoituksen ja sinulla on aikaa täydentää saldosi. Tuhat luottoa maksaa vain 30 taalaa. Hinta puheluille ja tekstiviesteille eri maat on erilainen. Venäjällä puhelu maksaa 5-20 krediittiä, tekstiviesti - 5 krediittiä. Mitään ei kuitenkaan veloiteta puhelusta, joka tapahtuu todennuksen aikana Duo Security -verkkosivustolla. Voit unohtaa krediitit kokonaan, jos käytät todentamiseen Duo Mobile -sovellusta - siitä ei veloiteta mitään.

Helppo rekisteröinti

Jotta voit suojata palvelimesi Duo Securityn avulla, sinun on ladattava ja asennettava erityinen asiakas, joka on vuorovaikutuksessa Duo Securityn todennuspalvelimen kanssa ja tarjoaa toisen suojakerroksen. Näin ollen tämä asiakas on erilainen jokaisessa tilanteessa: riippuen siitä, missä tarkalleen on tarpeen toteuttaa kaksivaiheinen todennus. Puhumme tästä alla. Ensimmäinen asia, joka sinun on tehtävä, on rekisteröityä järjestelmään ja hankkia tili. Siksi avaamme kotisivu Napsauta "Ilmainen kokeiluversio", napsauta avautuvalla sivulla olevaa "Rekisteröidy" -painiketta henkilökohtaisen tilin tyypin alla. Sen jälkeen meitä pyydetään syöttämään etunimemme, sukunimemme, sähköpostiosoitteesi ja yrityksen nimi. Sinun pitäisi saada sähköposti, joka sisältää linkin rekisteröinnin vahvistamiseksi. Tässä tapauksessa järjestelmä soittaa automaattisesti määritettyyn puhelinnumeroon: aktivoidaksesi tilisi, sinun on vastattava puheluun ja painettava puhelimen #-painiketta. Tämän jälkeen tili on aktiivinen ja voit aloittaa taistelutestauksen.

RDP:n suojaaminen

Sanoin edellä, että aloitin suurella halulla suojata etäyhteydet työpöydälleni. Siksi kuvailen ensimmäisenä esimerkkinä, kuinka RDP-turvallisuutta voidaan vahvistaa.

Kaikki kaksivaiheisen todennuksen toteutus alkaa yksinkertaisella toimenpiteellä: luodaan niin sanottu integraatio Duo Security -profiiliin. Siirry kohtaan "Integraatiot  Uusi integraatio", määritä integroinnin nimi (esimerkiksi "Home RDP"), valitse sen tyyppi "Microsoft RDP" ja napsauta "Lisää integraatio".

Näyttöön tuleva ikkuna näyttää integrointiparametrit: Integrointiavain, Salainen avain, API-isäntänimi. Tarvitsemme niitä myöhemmin, kun määritämme asiakasosan. On tärkeää ymmärtää: kenenkään ei pitäisi tuntea heitä.

Seuraavaksi sinun on asennettava suojattuun koneeseen erityinen asiakas, joka asentaa kaiken tarvittavan Windows-järjestelmään. Se voidaan ladata viralliselta verkkosivustolta tai ottaa levyltämme. Sen koko asennus tiivistyy siihen tosiasiaan, että asennuksen aikana sinun on syötettävä edellä mainittu integrointiavain, salainen avain, API-isäntänimi.

Siinä kaikki, oikeastaan. Nyt kun seuraavan kerran kirjaudut palvelimelle RDP:n kautta, näytöllä on kolme kenttää: käyttäjätunnus, salasana ja kertakäyttöinen Duo-avain. Tästä syystä järjestelmään ei voi enää kirjautua pelkällä käyttäjätunnuksellasi ja salasanallasi.

Kun uusi käyttäjä yrittää kirjautua sisään ensimmäisen kerran, hänen on suoritettava Duo Security -vahvistusprosessi kerran. Palvelu antaa hänelle erityisen linkin, jonka jälkeen hänen on syötettävä puhelinnumeronsa ja odotettava vahvistuspuhelua. Jos haluat saada lisäavaimia (tai hankkia ne ensimmäistä kertaa), voit kirjoittaa avainsanan "sms". Jos haluat todentaa puhelun avulla, kirjoita "phone", jos käytät Duo Pushia, kirjoita "push". Kaikkien palvelimeen yhdistämisyritysten (sekä onnistuneiden että epäonnistuneiden) historiaa voit tarkastella tililläsi Duo Security -sivustolla valitsemalla ensin haluamasi integraatio ja siirtymällä sen "Todennuslokiin".

Yhdistä Duo Security missä tahansa!

Kaksivaiheisen todennuksen avulla voit suojata RDP:n tai SSH:n lisäksi myös VPN:itä, RADIUS-palvelimia ja kaikkia verkkopalveluita. Esimerkiksi on olemassa valmiita asiakkaita, jotka lisäävät ylimääräisen todennuskerroksen suosituimpiin Drupal- ja WordPress-koneisiin. Jos valmiita asiakasohjelmia ei ole, älä hermostu: voit aina lisätä kaksivaiheisen todennuksen sovelluksellesi tai verkkosivustollesi järjestelmän tarjoaman API:n avulla. API:n kanssa työskentelyn logiikka on yksinkertainen - teet pyynnön tietyn menetelmän URL-osoitteeseen ja jäsennät palautetun vastauksen, joka voi tulla JSON-muodossa (tai BSON, XML). Duo REST API:n täydellinen dokumentaatio on saatavilla virallisella verkkosivustolla. Sanon vain, että on olemassa menetelmiä ping, check, preauth, auth, status, joiden nimestä on helppo arvata, mihin ne on tarkoitettu.

SSH:n suojaaminen

Harkitse toisentyyppistä integraatiota - "UNIX-integraatiota" turvallisen todennuksen toteuttamiseksi. Lisäämme toisen integroinnin Duo Security -profiiliimme ja jatkamme asiakkaan asentamista järjestelmään.

Voit ladata jälkimmäisen lähdekoodin osoitteesta bit.ly/IcGgk0 tai ottaa sen levyltämme. käytin uusin versio- 1.8. Muuten, asiakas toimii useimmilla nix-alustoilla, joten se voidaan helposti asentaa FreeBSD-, NetBSD-, OpenBSD-, Mac OS X-, Solaris/Illumos-, HP-UX- ja AIX-käyttöjärjestelmiin. Rakennusprosessi on vakio - määritä && tee && sudo make install. Ainoa asia, jota suosittelen, on käyttää configure-komentoa vaihtoehdolla --prefix=/usr, muuten asiakas ei välttämättä löydä tarvittavia kirjastoja käynnistyksen yhteydessä. Onnistuneen asennuksen jälkeen siirry muokkaamaan asetustiedostoa /etc/duo/login_duo.conf. Tämä on tehtävä juurista. Kaikki onnistuneen toiminnan edellyttämät muutokset ovat integrointiavaimen, salaisen avaimen ja API-isäntänimen arvot, jotka löytyvät integrointisivulta.

; Duo-integrointiavain = INTEGRATION_KEY; Duon salainen avainavain = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

Jos haluat pakottaa kaikki käyttäjät, jotka kirjautuvat palvelimellesi SSH:n kautta, käyttämään kaksivaiheista todennusta, lisää vain seuraava rivi /etc/ssh/sshd_config-tiedostoon:

> ForceCommand /usr/local/sbin/login_duo

On myös mahdollista järjestää kaksivaiheinen todennus vain yksittäisille käyttäjille yhdistämällä heidät ryhmään ja määrittämällä tämä ryhmä login_duo.conf-tiedostossa:

> ryhmä = pyörä

Jotta muutokset tulevat voimaan, sinun tarvitsee vain käynnistää ssh-daemon uudelleen. Tästä eteenpäin, kun kirjautumissalasana on syötetty onnistuneesti, käyttäjää pyydetään suorittamaan lisätodennus. Yksi hienous on syytä mainita erikseen ssh-asetukset- On erittäin suositeltavaa poistaa asetukset PermitTunnel ja AllowTcpForwarding käytöstä konfiguraatiotiedostossa, koska demoni ottaa ne käyttöön ennen todennuksen toisen vaiheen aloittamista. Siten, jos hyökkääjä syöttää salasanan oikein, hän voi päästä sisäverkkoon ennen todennuksen toisen vaiheen valmistumista porttiohjauksen ansiosta. Voit välttää tämän vaikutuksen lisäämällä seuraavat asetukset sshd_config-tiedostoon:

PermitTunnel noAllowTcpForwarding no

Nyt palvelimesi on kaksoiseinän takana ja hyökkääjän on paljon vaikeampi päästä sinne.

Lisäasetukset

Jos kirjaudut sisään Duo Security -tilillesi ja siirryt Asetukset-osioon, voit muokata joitain asetuksia itsellesi sopiviksi. Ensimmäinen tärkeä osa on "Puhelut". Tämä määrittää parametrit, jotka ovat voimassa, kun puhelua käytetään todennuksen vahvistamiseen. "Äänisoittonäppäimet" -kohdassa voit määrittää, mitä puhelimen näppäintä on painettava todennuksen vahvistamiseksi. Oletusarvo on "Paina mitä tahansa näppäintä todentaaksesi" - eli voit painaa mitä tahansa. Jos asetat arvon "Paina eri näppäimiä todentaaksesi tai ilmoittaaksesi petoksesta", sinun on asetettava kaksi avainta: ensimmäisen napsauttaminen vahvistaa todennuksen (Todennusavain), toisen napsauttaminen (Näppäin ilmoittaaksesi petoksesta) tarkoittaa, että ei aloittanut todennusprosessia, eli joku on saanut salasanamme ja yrittää kirjautua sisään palvelimelle käyttämällä sitä. "SMS-salasanat" -kohdassa voit asettaa yhden tekstiviestin sisältämien pääsykoodien määrän ja niiden käyttöiän (voimassaoloajan). "Lukitus ja petos" -parametrilla voit asettaa sähköpostiosoitteen, johon lähetetään ilmoitus, jos tietty määrä epäonnistuneita kirjautumisyrityksiä palvelimelle.

Käytä sitä!

Yllättäen monet ihmiset jättävät edelleen huomiotta kaksivaiheisen todennuksen. En ymmärrä miksi. Tämä lisää turvallisuutta todella paljon. Se voidaan toteuttaa melkein mihin tahansa, ja kunnollisia ratkaisuja on saatavilla ilmaiseksi. Miksi siis? Laiskuudesta tai huolimattomuudesta.

Analogiset palvelut

• Signify (www.signify.net) Palvelu tarjoaa kolme vaihtoehtoa kaksivaiheisen todennuksen järjestämiseen. Ensimmäinen on elektronisten avainten käyttö. Toinen tapa on käyttää salasanoja, jotka lähetetään käyttäjän puhelimeen tekstiviestinä tai osoitteeseen sähköposti. Kolmas vaihtoehto - mobiilisovellus varten Android-puhelimet, iPhone, BlackBerry, joka luo kertaluonteisia salasanoja (lähinnä Duo Mobilen analogia). Palvelu on suunnattu suuret yritykset, joten täysin maksettu.
• SecurEnvoy (www.securenvoy.com) Mahdollistaa myös matkapuhelimen käytön toisena suojauskerroksena. Salasanat lähetetään käyttäjälle tekstiviestillä tai sähköpostitse. Jokainen viesti sisältää kolme salasanaa, eli käyttäjä voi kirjautua sisään kolme kertaa ennen uuden osan pyytämistä. Palvelu on myös maksullinen, mutta tarjoaa ilmaisen 30 päivän ajan. Merkittävä etu on sekä alkuperäisten että kolmannen osapuolen integraatioiden suuri määrä.
• PhoneFactor (www.phonefactor.com) Tämän palvelun avulla voit järjestää ilmaisen kaksivaiheisen todennuksen jopa 25 käyttäjälle, tarjoten 500 ilmaista todennusta kuukaudessa. Suojauksen järjestämiseksi sinun on ladattava ja asennettava erityinen asiakas. Jos sinun on lisättävä sivustoosi kaksivaiheinen todennus, voit käyttää virallista SDK:ta, joka tarjoaa yksityiskohtaista dokumentaatiota ja esimerkkejä seuraavista ohjelmointikielistä: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Windows-käyttöjärjestelmän palvelinversioissa on loistava mahdollisuus käyttää yhteyksissä käyttäjän aiemmin tietokoneelle kirjautuessaan syöttämiä tunnistetietoja. Tällä tavalla heidän ei tarvitse kirjoittaa käyttäjätunnustaan ​​ja salasanaansa joka kerta, kun he käynnistävät julkaistun sovelluksen tai vain etätyöpöydän. Tätä asiaa kutsutaan kertakirjautumiseksi teknologian avulla CredSSP(Credential Security Service Provider).

Kuvaus

Jotta tämä toimisi, seuraavat ehdot on täytettävä:

• Päätepalvelimen ja siihen yhteyden muodostavan asiakkaan on oltava toimialueella.
• Päätepalvelin on määritettävä käyttöjärjestelmässä Windows Server 2008, Windows Server 2008 R2 tai uudempi.
• Asiakastietokoneeseen on asennettava seuraava käyttöjärjestelmä: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 tai Windows Server 2008 R2.

Windows XP SP3:ssa tarvitaan lisävaiheita. On tarpeen asentaa korjaus, jonka avulla voit määrittää Windows XP SP3:n asetukset ryhmäkäytäntöjen avulla.
Tämä korjaus (MicrosoftFixit50588.msi) voidaan ladata sekä verkkosivuiltamme että verkkosivuiltamme:

Aseta ensin päätepalvelimen suojaustaso "Neuvottelu"-tilaan:

Siinä määritämme 2 parametria: Salli oletustunnistetietojen lähetys ja Salli oletustunnistetietojen delegointi "vain NTLM"-palvelimen todennuksella

Salli oletusarvoinen valtuustietojen delegointi vain NTLM-palvelimen todennuksella – se on määritettävä vain, jos päätepalvelinta ei ole todennettu Kerberos- tai SSL-varmenteen avulla.

Kirjoitamme sinne palvelimet, joille haluamme päästää käyttäjät syöttämättä uudelleen sisäänkirjautumistunnustaan ​​ja salasanaansa. Voit syöttää ne maskilla tai yksitellen. Ohje kertoo sen yksityiskohtaisesti.

Tämän jälkeen käytämme käytäntöä halutuissa tietokoneissa ja tarkistamme, että käyttäjät voivat käyttää yllä olevissa käytännöissä määritettyjä päätepalvelimia ilman kirjautumistunnusta ja salasanaa.

Aleksanteri Antipov

Artikkeli tarjoaa yleiskatsauksen kertakirjautumisen läpinäkyvän valtuutustekniikan ja tietoturvapalvelun tarjoajan Credential Security Service Providerin (CredSSP) toimintaalgoritmiin. Asiakkaan ja palvelimen osien asetustapaa tarkastellaan.

Yksi suurimmista haitoista käyttäjälle käynnistettäessä etätyöpöytää tai päätepalvelimella julkaistua sovellusta on tarve syöttää käyttäjätiedot. Aiemmin tämän ongelman ratkaisemiseen käytettiin mekanismia, jolla kirjautumistiedot tallennettiin Etätyöpöytä-asiakasasetuksiin. kuitenkin tätä menetelmää on useita merkittäviä haittoja. Esimerkiksi salasanaa säännöllisin väliajoin vaihdettaessa se piti vaihtaa manuaalisesti pääteasiakasasetuksissa.

Tässä suhteessa Windows Server 2008:n etätyöpöydän kanssa työskentelyn yksinkertaistamiseksi tuli mahdolliseksi käyttää Single Sign-on (SSO) -läpinäkyvää valtuutustekniikkaa. Sen ansiosta käyttäjä voi päätepalvelimelle kirjautuessaan käyttää kirjautuessaan antamiaan tunnistetietoja paikalliselle tietokoneelleen, josta etätyöpöytäohjelma käynnistetään.

Artikkeli tarjoaa yleiskatsauksen kertakirjautumisen läpinäkyvän valtuutustekniikan ja tietoturvapalvelun tarjoajan Credential Security Service Providerin (CredSSP) toimintaalgoritmiin. Asiakkaan ja palvelimen osien asetustapaa tarkastellaan. Lisäksi käsitellään useita käytännön kysymyksiä, jotka liittyvät etätyöpöytäpalvelujen läpinäkyvään valtuutukseen.

Teoreettista tietoa

SSO-tekniikan avulla voit tallentaa käyttäjätunnukset ja siirtää ne automaattisesti, kun muodostat yhteyden päätepalvelimeen. Ryhmäkäytäntöjen avulla voit määrittää palvelimet, joissa tätä valtuutusmenetelmää käytetään. Tässä tapauksessa kaikille muille päätepalvelimille kirjautuminen tapahtuu perinteisellä tavalla: syöttämällä käyttäjätunnus ja salasana.

Läpinäkyvät valtuutusmekanismit ilmestyivät ensimmäisen kerran Windows Server 2008:ssa ja Windows Vistassa. kiitos uudelle tietoturvatoimittajalle CredSSP:lle. Se mahdollisti välimuistissa olevien valtuustietojen lähettämisen suojatun kanavan kautta (Transport Layer Securityn (TLS) avulla). Microsoft julkaisi myöhemmin vastaavat päivitykset Windows XP SP3:lle.

Katsotaanpa tätä tarkemmin. CredSSP:tä voidaan käyttää seuraavissa tilanteissa:

• varten verkkokerros todennus (NLA), jonka avulla käyttäjä voidaan tunnistaa ennen täydellinen asennus liitännät;
• SSO:ta varten tallennetaan käyttäjätiedot ja välitetään ne päätelaitteelle.

Kun istuntoa palautetaan maatilan sisällä, CredSSP nopeuttaa yhteyden muodostusprosessia, koska päätepalvelin määrittää käyttäjän muodostamatta täyttä yhteyttä (samanlainen kuin NLA).

Todennusprosessi noudattaa seuraavaa algoritmia:

Asiakas aloittaa suojatun kanavan muodostamisen palvelimen kanssa TLS:n avulla. Palvelin antaa sille varmenteen, joka sisältää nimen, varmenneviranomaisen ja julkisen avaimen. Palvelinvarmenne voidaan allekirjoittaa itse.

Palvelimen ja asiakkaan välille muodostetaan istunto. Sille luodaan vastaava avain, joka myöhemmin osallistuu salaukseen. CredSSP käyttää Simple and Protected Negotiate (SPNEGO) -protokollaa palvelimen ja asiakkaan todentamiseen vastavuoroisesti, jotta kumpikin voi luottaa toisiinsa. Tämän mekanismin avulla asiakas ja palvelin voivat valita todennusmekanismin (kuten Kerberos tai NTLM).

Suojautuakseen sieppaukselta asiakas ja palvelin salaavat vuorotellen palvelinvarmenteen istuntoavaimella ja lähettävät sen toisilleen.

Jos vaihdon ja alkuperäisen varmenteen tulokset täsmäävät, asiakkaan CredSSP lähettää käyttäjän tunnistetiedot palvelimelle.

Siten valtuustietojen lähetys tapahtuu salatun kanavan kautta, joka on suojattu sieppausta vastaan.

asetukset

Suojauspalveluntarjoaja CredSSP on osa käyttöjärjestelmää ja sisältyy Windows Vista-, Windows Server 2008-, Windows 7- ja Windows Server 2008 R2 -käyttöjärjestelmiin. Lisäksi se voidaan asentaa erillisenä päivityksenä Windows XP SP3:een. Tämä prosessi on kuvattu yksityiskohtaisesti artikkelissa "Kuvaus CredSSP-tukipalvelun tarjoajasta Windows XP Service Pack 3:ssa" Voit asentaa ja ottaa CredSSP:n käyttöön Windows XP SP3:ssa noudattamalla näitä ohjeita.

1. Suorita rekisterieditorin regedit ja siirry haaraan: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Lisää tspkg-arvo Security Packages -avaimeen

3. Siirry rekisterihaaraan: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Lisää credssp.dll:n arvo SecurityProviders-avaimeen (tämän avaimen loput arvot tulee jättää ennalleen).

Kun CredSSP on otettu käyttöön, sinun on määritettävä sen käyttö ryhmäkäytäntöjen tai vastaavien rekisteriavaimien avulla. Voit määrittää SSO:n asiakastietokoneissa käyttämällä ryhmäkäytäntöjä osiosta:

Tietokoneen kokoonpano\Hallintamallit\Järjestelmä\Valtuustietojen delegointi .

Käyttöjärjestelmien venäjänkielisissä versioissa se näyttää tältä (kuva 1).

Riisi. 1. Tunnusten siirron hallinta ryhmäkäytäntöjen avulla

Jotta voit käyttää SSO:ta, sinun on otettava käyttöön käytäntö:

Salli oletustunnistetietojen välittäminen.

Lisäksi sinun tulee määrittää käyttöönoton jälkeen, mille palvelimille tätä valtuutusmenetelmää käytetään. Voit tehdä tämän suorittamalla seuraavat vaiheet.

Napsauta käytäntöjen muokkausikkunassa (kuva 2) Näytä-painiketta

Riisi. 2. Ryhmäkäytännön muokkausikkuna

Lisää luettelo päätepalvelimista (kuva 3).

Riisi. 3. Päätepalvelimen lisääminen läpinäkyvää valtuutusta varten

Palvelimen lisäysrivillä on seuraava muoto:

TERMSRV/palvelimen_nimi .

Voit myös määrittää palvelimet verkkotunnuksen peitteen mukaan. Tässä tapauksessa rivi saa muotoa:

TERMSRV/*.verkkotunnuksen_nimi .

Jos ryhmäkäytäntöjä ei voi käyttää, sopivat asetukset voidaan määrittää rekisterieditorilla. Esimerkiksi varten Windowsin asetukset XP Sp3:ssa voit käyttää seuraavaa rekisteritiedostoa:

Windowsin rekisterieditorin versio 5.00

"Turvapaketit"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

Tässä sinun tulee korvata verkkotunnus verkkotunnuksen sijaan mydomain.com:in sijaan. Tässä tapauksessa, kun muodostat yhteyden päätepalvelimiin, verkkotunnus(esimerkiksi termipalvelin1.omaverkkotunnus.com) käytetään läpinäkyvää valtuutusta.

Jotta voit käyttää Single Sign-On -tekniikkaa päätepalvelimessa, sinun on suoritettava seuraavat vaiheet.

Avaa Terminal Services Configuration Console (tsconfig.msc).

Siirry yhteysosiossa RDP-Tcp-ominaisuuksiin.

Aseta "Yleiset"-välilehdellä suojaustasoksi "Neuvottelu" tai "SSL (TLS 1.0)" (kuva 4).

Riisi. 4. Päätepalvelimen suojaustason asettaminen

Tässä vaiheessa voidaan katsoa, ​​että asiakas- ja palvelinosien asennus on valmis.

Käytännön tietoa

Tässä osiossa pohditaan läpinäkyvän valtuutustekniikan käytön rajoituksia ja sen käytössä mahdollisesti syntyviä ongelmia.

• Single Sign-On -tekniikka toimii vain, kun muodostetaan yhteys tietokoneista, joissa on jokin muu käyttöjärjestelmä kuin Windows XP SP3 tai vanhempi versio. Tietokoneet, joissa käyttöjärjestelmä Windows Vista, Windows Server 2008, Windows 7 ja Windows Server 2008 R2.
• Jos päätepalvelinta, johon yhteys muodostetaan, ei voida todentaa Kerberos- tai SSL-varmenteen kautta, SSO ei toimi. Tämä rajoitus voidaan ohittaa käyttämällä seuraavaa käytäntöä:
  Salli valtuustietojen delegointi, joka on asetettu oletusarvoiseen "vain NTLM"-palvelimen todennukseen.
• Tämän ryhmäkäytännön käyttöönotto- ja määritysalgoritmi on samanlainen kuin yllä esitetty. Tätä asetusta vastaava rekisteritiedosto näyttää tältä.

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.mydomain.com"

Todennus tällä menetelmällä on vähemmän turvallinen kuin varmenteiden tai Kerberosin käyttäminen.

• Jos palvelimen tunnistetiedot on tallennettu pääteasiakasasetuksiin, niillä on korkeampi prioriteetti kuin nykyisillä tunnistetiedoilla.
• Kertakirjautuminen toimii vain verkkotunnustilejä käytettäessä.
• Jos yhteys päätepalvelimeen on TS Gatewayn kautta, joissain tapauksissa TS Gateway -palvelimen asetukset voivat mennä pääteasiakkaan SSO-asetusten edelle.
• Jos päätepalvelin on määritetty kysymään käyttäjän tunnistetietoja joka kerta, SSO ei toimi.
• Läpinäkyvä valtuutustekniikka toimii vain salasanojen kanssa. Jos käytät älykortteja, se ei toimi.

Jotta SSO toimisi oikein Windows XP SP:ssä, on suositeltavaa asentaa kaksi korjausta KB953760:sta: "Kun otat kertakirjautumisen käyttöön päätepalvelimelle Windows XP SP3 -pohjaisesta asiakastietokoneesta, sinua pyydetään silti antamaan käyttäjän tunnistetietoja, kun kirjaudut sisään. päätepalvelimelle ».

Joissakin tapauksissa on mahdollista, että läpinäkyvä valtuutustekniikka voi toimia tai ei toimi samassa pääteasiakkaassa, riippuen yhdistävän käyttäjän profiilista. Ongelma ratkaistaan ​​luomalla käyttäjäprofiili uudelleen. Jos tämä on liian aikaa vievä tehtävä, voit kokeilla keskustelun vinkkejä: "RemoteApp Single Sign On (SSO) Windows 7 -asiakkaasta» Microsoft Technet -foorumit. Erityisesti on suositeltavaa nollata asetukset Internet Explorer tai hyväksyä sille sopiva lisäosa.

Toinen SSO-tekniikan suuri rajoitus on, että se ei toimi käytettäessä julkaistuja sovelluksia TS Web Accessin kautta. Tässä tapauksessa käyttäjä pakotetaan syöttämään tunnistetiedot kahdesti: kirjautuessaan sisään verkkokäyttöliittymään ja valtuuttaessaan päätepalvelimella.

Windows Server 2008 R2:ssa tilanne on muuttunut parempaan suuntaan. Lisää yksityiskohtainen tieto Tämä löytyy artikkelista: "Introducing Web Single Sign-On for RemoteApp and Desktop Connections" ».

Johtopäätös

Artikkelissa käsitellään läpinäkyvän valtuutuksen tekniikkaa Single Sign-On -päätepalvelimissa. Sen käytön avulla voit vähentää aikaa, jonka käyttäjä käyttää päätepalvelimelle kirjautumiseen ja etäsovellusten käynnistämiseen. Lisäksi sen avulla riittää, että annat tunnistetietosi kerran kirjautuessasi paikalliseen tietokoneeseen ja käytät niitä sitten, kun muodostat yhteyden päätepalvelimet verkkotunnus. Tunnusten siirtomekanismi on varsin turvallinen, ja palvelin- ja asiakasosien määrittäminen on erittäin yksinkertaista.