Kettős páncél mögött. Távoli hozzáférés beállítása RDP Rdp bejelentkezésen keresztül személyes tanúsítvány használatával

Kettős páncél mögött. Távoli hozzáférés beállítása RDP Rdp bejelentkezésen keresztül személyes tanúsítvány használatával

Bizonyára sokan hallották és látták már ezt a rövidítést – szó szerint úgy fordítják, mint Remote Desktop Protocol. Ha valakit érdekelnek ennek az alkalmazásszintű protokollnak a működésének technikai bonyodalmai, az elolvashatja a szakirodalmat, kezdve ugyanazzal a Wikipédiával. Pusztán gyakorlati szempontokat fogunk figyelembe venni. Mégpedig az a tény, hogy ez a protokoll lehetővé teszi a távoli csatlakozást a számítógépekhez Windows vezérlés különböző verziók beépített használatával Windows eszköz"Csatlakozás távoli asztalhoz."

Mik az RDP protokoll használatának előnyei és hátrányai?

Kezdjük a kellemesekkel – a profikkal. Előnye, hogy ez az eszköz, amelyet helyesebben RDP Clientnek hívnak, bármely Windows-felhasználó számára elérhető, mind azon a számítógépen, amelyről a távirányítót kezelni fogják, mind azok számára, akik távoli hozzáférést szeretnének nyitni a számítógépükhöz.

A távoli asztalhoz való csatlakozáson keresztül nemcsak a távoli asztal megtekintésére és a távoli számítógép erőforrásainak használatára nyílik lehetőség, hanem csatlakozni is lehet hozzá helyi lemezek, nyomtatók, intelligens kártyák stb. Természetesen, ha RDP-n keresztül szeretne videót nézni vagy zenét hallgatni, ez a folyamat valószínűleg nem okoz örömet, mert... a legtöbb esetben diavetítést fog látni, és a hang valószínűleg megszakad. De az RDP szolgáltatást nem ezekre a feladatokra fejlesztették ki.

További kétségtelen előny, hogy a számítógéphez való csatlakozás minden további, többnyire fizetős programok nélkül történik, bár megvannak a maguk előnyei. Az RDP-kiszolgálóhoz (amely a távoli számítógéphez) való hozzáférési időt csak az Ön kívánsága korlátozza.

Csak két mínusz van. Az egyik jelentős, a másik nem annyira. Az első és lényeges az, hogy az RDP-vel való együttműködéshez annak a számítógépnek, amelyre a kapcsolatot létesítjük, fehér (külső) IP-címmel kell rendelkeznie, vagy a routertől erre a számítógépre „tovább lehet küldeni” egy portot, amelynek ismét külső IP-vel kell rendelkeznie. Nem számít, hogy statikus vagy dinamikus, de annak lennie kell.

A második hátrány nem olyan jelentős - az ügyfél legújabb verziói már nem támogatják a 16 színű színsémát. Minimum - 15 bit. Ez nagymértékben lelassítja az RDP-t, ha egy csökevényes, halott interneten keresztül csatlakozik másodpercenként 64 kilobitet meg nem haladó sebességgel.

Mire használhatod az RDP-n keresztüli távoli hozzáférést?

A szervezetek általában RDP-kiszolgálókat használnak együttműködés az 1C programban. És néhányan még felhasználói munkaállomásokat is telepítenek rájuk. Így a felhasználó, különösen, ha utazó munkája van, ha rendelkezik 3G internettel vagy hotel/kávézó Wi-Fi-vel, távolról csatlakozhat a munkahelyéhez, és megoldhat minden problémát.

Egyes esetekben az otthoni felhasználók távoli hozzáférést is használhatnak a sajátjukhoz otthoni számítógép hogy néhány adatot otthoni forrásokból szerezzen be. A távoli asztali szolgáltatás elvileg lehetővé teszi a szöveges, mérnöki és grafikus alkalmazások. A fent említett okok miatt nem fog működni videó- ​​és hangfeldolgozással, de ez még mindig nagyon jelentős plusz. A munkahelyi vállalati szabályzat által lezárt erőforrásokat is megtekintheti, ha otthoni számítógépéhez csatlakozik névtelenítők, VPN vagy más gonosz szellemek nélkül.

Az internet előkészítése

Az előző részben beszéltünk arról, hogy az RDP-n keresztüli távoli eléréshez külső IP-címre van szükségünk. Ezt a szolgáltatást a szolgáltató tudja biztosítani, ezért hívunk vagy írunk, vagy megyünk a címre Személyes területés intézkedjen ennek a címnek a megadásáról. Ideális esetben statikusnak kell lennie, de elvileg dinamikusakkal együtt lehet élni.

Ha valaki nem érti a terminológiát, akkor a statikus cím állandó, a dinamikus cím pedig időről időre változik. A dinamikus IP-címekkel való teljes körű együttműködés érdekében különféle szolgáltatásokat találtak ki, amelyek dinamikus tartománykötést biztosítanak. Hogy mit és hogyan, erről a témáról hamarosan cikk lesz.

A router előkészítése

Ha számítógépe nem közvetlenül csatlakozik az internetszolgáltató kábeléhez, hanem egy útválasztón keresztül, akkor ezzel az eszközzel is el kell végeznünk néhány manipulációt. Nevezetesen továbbítsa a szervizportot - 3389. Ellenkező esetben az útválasztó NAT-ja egyszerűen nem enged be. otthoni hálózat. Ugyanez vonatkozik az RDP-kiszolgáló szervezeten belüli beállítására is. Ha nem tudja, hogyan kell portot továbbítani, olvassa el a portok továbbítása útválasztón című cikket (új lapon nyílik meg), majd térjen vissza ide.

A számítógép előkészítése

A számítógéphez való távoli csatlakozás létrehozásához pontosan két dolgot kell tennie:

Engedélyezze a csatlakozást a Rendszer tulajdonságainál;
- állítson be egy jelszót az aktuális felhasználóhoz (ha nincs jelszava), vagy hozzon létre egy új felhasználót egy kifejezetten az RDP-n keresztüli csatlakozáshoz szükséges jelszóval.

Döntse el maga, mit kezd a felhasználóval. Ne feledje azonban, hogy a nem szerver operációs rendszerek natív módon nem támogatják a többszörös bejelentkezést. Azok. Ha helyileg (konzolon) saját magaként jelentkezik be, majd távolról ugyanazon felhasználóként jelentkezik be, a helyi képernyő zárolva lesz, és a távoli asztali kapcsolat ablakban megnyílik a munkamenet ugyanazon a helyen. Ha helyileg adja meg a jelszót anélkül, hogy kilépne az RDP-ből, akkor ki lesz zárva a távoli hozzáférésből, és az aktuális képernyőt fogja látni a helyi monitoron. Ugyanez vár Önre, ha egy felhasználóként jelentkezik be a konzolon, és távolról próbál bejelentkezni egy másik felhasználóként. Ebben az esetben a rendszer felszólítja a helyi felhasználói munkamenet befejezésére, ami nem mindig kényelmes.

Tehát menjen a Start menübe, kattintson jobb gombbal a Számítógép menüre, és kattintson a Tulajdonságok parancsra.

A Rendszer tulajdonságai között válassza ki a lehetőséget Extra lehetőségek rendszerek

A megnyíló ablakban lépjen a Távoli hozzáférés fülre...

...kattints a Tovább gombra...

És jelölje be az egyetlen négyzetet ezen az oldalon.

ez "házi" Windows verzió 7 - a Pro és magasabb verziójúak több jelölőnégyzetet kapnak, és lehetőség nyílik a hozzáférés megkülönböztetésére.

Kattintson az OK gombra mindenhol.

Most lépjen a Távoli asztali kapcsolat lehetőségre (Start> Minden program> Kellékek), írja be oda a számítógép IP-címét vagy nevét, ha az otthoni hálózatáról szeretne csatlakozni hozzá, és használni kívánja az összes erőforrást.

Mint ez. Elvileg minden egyszerű. Ha hirtelen bármilyen kérdése van, vagy valami nem világos, üdvözöljük a megjegyzésekben.

Röviden: lehetővé teszi a kétfaktoros hitelesítés konfigurálását a terminálkiszolgálóhoz való hozzáféréshez. Az MS Remote Desktop Connection vagy a Remote Desktop Web Connection segédprogram használatával egyszerűen csatlakozhat a távoli asztalhoz USB-kulcs (token) segítségével.

Hogyan működik a Rohos bejelentkezési kulcs a távoli asztallal.

A Rohos bejelentkezési kulcs integrálódik a Windows terminálszolgáltatások engedélyezési folyamatába, és egy kéttényezős hitelesítési réteget ad a meglévő rendszer-hozzáférési infrastruktúrához. A Rohos bejelentkezési kulcs beállítása után a felhasználók csak USB-kulccsal vagy USB-kulccsal és jelszóval jelentkezhetnek be a távoli asztalra.

A terminálkiszolgáló védelem előnyei.
  • A módszer lehetővé teszi bizonyos felhasználók távoli hozzáférésének korlátozását vagy a felhasználók listájának korlátozását.
  • Az ilyen felhasználóknak minden alkalommal be kell helyezniük egy USB-kulcsot, vagy be kell írniuk egy OTP-kódot.
  • Minden kulcs egyedi és nem hamisítható
  • Az USB kulcsot nem kell közvetlenül a szerverhez csatlakoztatni a beállításkor.
  • Nem kell minden olyan számítógépre telepíteni a programot, amelyről eléri*.
  • A rendszergazdának csak előre kell konfigurálnia, és ki kell adnia a felhasználónak egy USB-kulcsot a hozzáféréshez.

Fokozott biztonság elektronikus USB-kulcs vagy egyszeri jelszavak révén:

  • Windows+ USB-kulcs jelszava, például SafeNet, eToken, iKey, ePass és mások PKCS#11 támogatással.
  • Windows jelszó + USB flash hordozó.
  • Windows jelszó + OTP kód SMS-ben elküldve a címre mobiltelefon felhasználó.
  • Ablakjelszó + OTP kód Google programok A felhasználó okostelefonjára telepített hitelesítő.
  • Csak az USB-kulcson található titkosított jelszó.
  • elektronikus USB kulcs + kulcs PIN kód;
  • Elektronikus USB kulcs + kulcs PIN + Windows jelszó;

Mielőtt elkezdené a Rohos bejelentkezési kulcs beállítását, el kell döntenie:

  • milyen típusú USB-kulcsot fognak használni az engedélyezéshez;
  • milyen típusú hitelesítést szeretne használni:
    1) kéttényezős = USB kulcs + Windows jelszó,
    2) egytényezős = USB-kulcs (ez tartalmazza az USB-kulcs + PIN-kulcs opciót is, ha elérhető),
    3) csak a helyi számítógépen használja az USB-kulcsot. Ebben az esetben a terminálkiszolgáló nem ellenőrzi, hogy az ügyfél rendelkezik-e USB-kulccsal.
Hitelesítési módszer a terminálkiszolgálóhoz USB-kulcs típusa A Rohos Logon Key szoftver telepítése a kliens- és terminálkiszolgálóra
Windows Vista/7/8 kliens TS Server Windows Server 2008/2012
1) Kéttényezős hitelesítés (USB-kulcs és Windows-jelszó). USB-tokenek (PKCS#11)
  • Intelligens kártyák
  • Google Authenticator
  • Yubikey
  • Pendrive*
2) Egytényezős hitelesítés (csak USB-kulcs) pendrive
USB-tokenek (PKCS#11)
Intelligens kártyák++3)
3) A kényelem érdekében USB-kulcsot használunk. A terminálszerver nem ellenőrzi az USB-kulcs meglétét. Bármilyen típusú USB kulcs

* Ha USB flash meghajtót használ hozzáférési kulcsként, két program egyikét kell telepítenie az ügyfél számítógépére: vagy a programot, vagy a . A kulcs létrehozása során a szerveren az USB-meghajtóra másolódik, így biztosítva, hogy az USB-meghajtót kulcsként használják a Távoli asztalhoz való csatlakozáshoz. Ez a hordozható összetevő más munkaállomásokon is futtatható, amelyek a kiszolgálóhoz való távoli csatlakozásra szolgálnak.

Miután eldöntötte az USB-kulcs típusát és a kéttényezős hitelesítési módszert, megkezdheti a Rohos bejelentkezési kulcs telepítését.

Az USB-kulcsok típusai és a távoli asztalon keresztüli hitelesítésre alkalmas technológiák a Rohos Logon Key programmal:
  • Intelligens kártyák, Java kártyák (Mifare 1K)
  • PKCS11 alapú tokenek. Például SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.
  • Yubikey és OTP tokenek, például a Google Authenticator
  • USB flash meghajtók. Ebben az esetben a kulcs létrehozása után a program hordozható komponense az USB-lemezre másolódik.
    • A kapcsolat előkészítésének lépései a Rohos Logon Key programmal:

    1. Telepítse a Rohos Logon Key programot a terminálkiszolgálóra. A program beállításainál adja meg az USB kulcs típusát.

    2. Telepítse a Rohos Management Tools csomagot arra a számítógépre, amelyről hozzáfér a távoli asztalhoz kulcsok létrehozásához.

    3. Kulcsok létrehozása az RDC-n keresztüli hozzáféréshez:

    Csatlakoztassa leendő USB-kulcsát a helyi számítógéphez. Csatlakozzon a terminálkiszolgálóhoz RDC-n keresztül. A Remote Desktop program beállításaiban adja meg, hogy mely helyi erőforrások ( USB meghajtók vagy intelligens kártyákat) kell biztosítani a távoli számítógépen.

    Futtassa a Rohos Logon Key programot a terminálkiszolgálón. Használja a Kulcs beállítása parancsot, adja meg a felhasználót, akinek létrehozza a kulcsot, és ha szükséges, adja meg a jelszót.

    Megjegyzés: Néhány USB típusok A kulcsok az USB kulcskezelő programban hozhatók létre a Rohos Managment Tools csomagból. Ez a csomag a rendszergazda számítógépére van telepítve. Miután létrehozta az összes kulcsot ebben a programban, exportálnia kell a listát a terminálkiszolgálóra. . Ugyanebben a programban van egy gomb, amelyre másol USB meghajtó programokat.

    4. A Rohos bejelentkezési kulcs beállítása a terminálkiszolgálón:

    Az összes kulcs létrehozása után megerősítheti a szerver biztonságát, ha megtiltja bizonyos felhasználóknak, hogy USB-kulcs nélkül hozzáférjenek. Nyissa meg a Rohos bejelentkezési kulcs program beállításait, és engedélyezze a hozzáférést csak USB-kulcs lista használatával.

    Lehetőségek:

    • Egyik sem
      Minden felhasználó bejelentkezhet akár jelszóval, akár USB használatával kulcs Ez a konfiguráció nem javasolt terminálkiszolgálóhoz.
    • Bármely felhasználó számára
      Ez az opció hasonló a régi Csak USB-kulcson keresztüli bejelentkezés engedélyezése beállításhoz. Minden felhasználónak USB-kulcsot kell használnia a Windowsba való bejelentkezéshez vagy a zárolás feloldásához.
    • A listán szereplő felhasználóknak
      Csak a listán szereplő felhasználóknak kell USB-kulcsot használniuk a bejelentkezéshez. Az összes többi felhasználó jelszóval jelentkezhet be. A lista automatikusan létrejön, amikor USB-kulcsot hoz létre a felhasználó számára. Az USB-kulcsról származó felhasználónév hozzáadódik ehhez a listához. Ezenkívül a felhasználók és kulcsok listája importálható egy másik számítógépről. Természetesen ezt csak rendszergazda teheti meg.
    • A "rohos" felhasználói csoporthoz az Active Directoryban
      A rohos csoport minden felhasználójának USB kulcsot kell használnia.
      Figyelem: a rohos felhasználói csoportot egy Active Directory rendszergazdának kell létrehoznia.
    • Távoli asztali bejelentkezéshez
      A helyi felhasználók USB-kulccsal vagy anélkül is bejelentkezhetnek. Távoli bejelentkezés csak USB-kulccsal lehetséges. Ez az opció ideális a terminálkiszolgáló biztonságának erősítésére.
    • Távoli asztali bejelentkezéshez LAN-on kívül
      Felhasználók be helyi hálózat kulcs nélkül bejelentkezhet a terminálkiszolgálóra. Csak a telefonos, DSL-kapcsolaton vagy más hálózatról bejelentkező felhasználóknak kell USB-kulcsot használniuk.
    Távoli asztali kapcsolat

    Csatlakozáskor ezt a hálózatazonosító párbeszédpanelt fogjuk látni.

    Ki kell választania egy felhasználónevet és meg kell adnia egy jelszót fiókot a TS-en.

    Ha a jelszó-hitelesítés sikeres, kapcsolat jön létre a Távoli asztallal. Ebben a szakaszban a Rohos bejelentkezési kulcs ellenőrzi a felhasználó USB-kulcsának meglétét.

    A Rohos bejelentkezési kulcs leállíthatja a hozzáférést, ha az USB-kulcs nincs csatlakoztatva:

    Ha egyszeri jelszóval rendelkező tokent használ, megjelenik egy ablak a beírására.

    Hordozható Rohos bejelentkezési kulcs

    A program akkor segít, ha USB flash meghajtót használ, de nem tudja vagy nem akarja rá telepíteni helyi számítógép sem Rohos Logon Key, sem Rohos Management eszközök. Ez az összetevő automatikusan átmásolódik az USB flash meghajtóra a kulcs létrehozása során a terminálkiszolgálón. Alternatív megoldásként futással is beszerezhető USB program kulcskezelő Pro licenc – távoli asztalon keresztül egy hálózati számítógéphez (nem terminálkiszolgálóhoz), valamint egy tartományban való használathoz való hozzáféréshez.

  • Szerverlicenc – kifejezetten a terminálkiszolgálóhoz (Windows 2003, 2008, 2012, távoli asztalon keresztüli hozzáféréssel)

    • Próbálja ki ingyen a Rohos bejelentkezési kulcsot 15 napig. Rohos bejelentkezési kulcs.

    Ezen időszak után a program is működni fog, de emlékeztetni fogja a regisztrációra.

    Ha az adatokhoz való hozzáférés egyetlen akadálya a jelszó, akkor nagy veszélyben van. A bérletet feltörheti, elfoghatja, ellophatja egy trójai, vagy kihalászhatja a szociális manipulációt. A kéttényezős hitelesítés mellőzése ebben a helyzetben szinte bűncselekmény.

    Az egyszeri kulcsokról már nem egyszer beszéltünk. A jelentés nagyon egyszerű. Ha egy támadónak valahogy sikerül megszereznie az Ön bejelentkezési jelszavát, könnyen hozzáférhet e-mailjeihez vagy csatlakozhat hozzá távoli szerver. De ha van egy további tényező az útjában, például egy egyszeri kulcs (más néven OTP-kulcs), akkor semmi sem fog működni. Még ha egy ilyen kulcs a támadó kezébe is kerül, többé nem lehet használni, mivel csak egyszer érvényes. Ez a második tényező lehet egy további hívás, egy SMS-ben kapott kód, egy kulcs, amelyet a telefonon generálnak bizonyos algoritmusok segítségével az aktuális idő alapján (az idő az algoritmus szinkronizálásának módja a kliensen és a szerveren). Ugyanaz Google már régóta javasolja felhasználóinak, hogy engedélyezzék a kéttényezős hitelesítést (pár kattintás a fiókbeállításokban). Itt az ideje, hogy ilyen védelmi réteget adjon szolgáltatásaihoz!

    Mit kínál a Duo Security?

    Triviális példa. A számítógépemnek van egy RDP-portja, amely „kívül” van nyitva az asztali számítógéphez való távoli csatlakozáshoz. Ha a bejelentkezési jelszó kiszivárog, a támadó azonnal megkapja teljes hozzáférés az autóhoz. Ezért szó sem volt az OTP jelszavas védelem megerősítéséről – csak meg kellett tenni. Hülyeség volt újra feltalálni a kereket, és megpróbáltam mindent egyedül megvalósítani, ezért csak megnéztem a piacon lévő megoldásokat. Többségük kereskedelmi jellegűnek bizonyult (további részletek az oldalsávban), de kis számú felhasználó számára ingyenesen használhatók. Pont amire szüksége van az otthonában. Az egyik legsikeresebb szolgáltatás, amely lehetővé teszi a kéttényezős hitelesítés megszervezését szó szerint bármihez (beleértve a VPN-t, az SSH-t és az RDP-t), a Duo Security (www.duosecurity.com) bizonyult. A vonzerejét az is növelte, hogy a projekt kidolgozója és alapítója John Oberheid, a projekt egyik ismert szakembere. információ biztonság. Például szétszedte a protokollt Google kommunikáció val vel Android okostelefonok, amellyel tetszőleges alkalmazásokat telepíthet vagy távolíthat el. Ez az alap érezteti magát: hogy megmutassák a kéttényezős hitelesítés fontosságát, a srácok elindultak VPN szolgáltatás Hunter (www.vpnhunter.com), amely gyorsan megtalálja a vállalat rejtett VPN-szervereit (és egyben meghatározza a berendezés típusát, amelyen működnek), távoli hozzáférési szolgáltatásokat (OpenVPN, RDP, SSH) és egyéb infrastrukturális elemeket, amelyek lehetővé teszi, hogy a támadó egyszerűen a bejelentkezési név és jelszó ismeretében hozzáférhessen a belső hálózathoz. Vicces, hogy a szolgáltatás hivatalos Twitterén a tulajdonosok napi jelentéseket kezdtek közzé tenni a jól ismert cégek szkenneléséről, ami után a fiókot kitiltották :). A Duo Security szolgáltatás természetesen elsősorban a kéttényezős hitelesítés bevezetését célozza a nagy felhasználószámú cégeknél. Szerencsére lehetőségünk van egy ingyenes Személyes fiók létrehozására, amellyel tíz felhasználó számára ingyenesen megszervezhetjük a kétlépcsős azonosítást.

    Mi lehet a második tényező?

    Ezután megvizsgáljuk, hogyan erősítheti meg a távoli asztali kapcsolat és az SSH biztonságát a szerveren szó szerint tíz perc alatt. Először azonban arról a további lépésről szeretnék beszélni, amelyet a Duo Security második engedélyezési tényezőként vezet be. Több lehetőség is van: telefon hívás, SMS jelszavakkal, Duo Mobile jelkódok, Duo Push, elektronikus kulcs. Mindegyikről egy kicsit bővebben.

    Meddig használhatom ingyen?

    Amint már említettük, a Duo Security különlegességet kínál díjcsomag"Személyes". Teljesen ingyenes, de a felhasználók száma nem lehet több tíznél. Támogatja korlátlan számú integráció hozzáadását, az összes elérhető hitelesítési módszert. Több ezer ingyenes kreditet biztosít telefonszolgáltatásokhoz. A jóváírások olyanok, mint egy belső pénznem, amelyet minden alkalommal leterhelnek a számlájáról, amikor hívás vagy SMS segítségével történik a hitelesítés. Fiókbeállításaiban beállíthatja, hogy a megadott számú kredit elérésekor értesítést kapjon, és legyen ideje feltölteni egyenlegét. Ezer kredit mindössze 30 dollárba kerül. Hívás és SMS ára különböző országok más. Oroszország esetében egy hívás 5-20 kreditbe kerül, egy SMS - 5 kredit. A Duo Security webhelyen történő hitelesítés során végzett hívásokért azonban nem kell fizetni. Teljesen megfeledkezhet a kreditekről, ha a Duo Mobile alkalmazást használja hitelesítésre – ezért nem számolunk fel semmit.

    Könnyű regisztráció

    A kiszolgáló Duo Security használatával való védelméhez le kell töltenie és telepítenie kell egy speciális klienst, amely együttműködik a Duo Security hitelesítési kiszolgálóval, és egy második védelmi réteget biztosít. Ennek megfelelően ez a kliens minden helyzetben más lesz: attól függően, hogy pontosan hol szükséges a kéttényezős hitelesítés megvalósítása. Az alábbiakban erről fogunk beszélni. Az első dolog, amit meg kell tennie, hogy regisztráljon a rendszerben, és szerezzen egy fiókot. Ezért nyitunk kezdőlap weboldalon kattintson az „Ingyenes próbaverzió” lehetőségre, a megnyíló oldalon kattintson a „Feliratkozás” gombra a Személyes fiók típusa alatt. Ezt követően megkérjük a keresztnevünket, vezetéknevünket, e-mail címünket és cégnevünket. Kapnia kell egy e-mailt, amely tartalmazza a regisztráció megerősítéséhez szükséges linket. Ebben az esetben a rendszer automatikusan tárcsázza a megadott telefonszámot: fiókja aktiválásához fogadnia kell a hívást, és meg kell nyomnia a # gombot a telefonon. Ezt követően a fiók aktív lesz, és megkezdheti a harci tesztelést.

    Az RDP védelme

    Fentebb elmondtam, hogy nagy vágyam volt, hogy távoli kapcsolatokat biztosítsak az asztalommal. Ezért első példaként leírom, hogyan lehet erősíteni az RDP biztonságát.

  • A kéttényezős hitelesítés bármely megvalósítása egy egyszerű művelettel kezdődik: létrehoz egy úgynevezett integrációt a Duo Security profilban. Lépjen az „Integrációk  Új integráció” szakaszba, adja meg az integráció nevét (például „Home RDP”), válassza ki a típusát „Microsoft RDP”, majd kattintson az „Integráció hozzáadása” gombra.
  • A megjelenő ablakban megjelennek az integrációs paraméterek: Integrációs kulcs, Titkos kulcs, API hosztnév. Később szükségünk lesz rájuk, amikor beállítjuk a kliens részt. Fontos megérteni: senkinek sem szabad ismernie őket.
  • Ezután telepítenie kell egy speciális klienst a védett gépre, amely mindent telepít a Windows rendszerbe. Letölthető a hivatalos webhelyről, vagy letölthető a lemezünkről. A teljes beállítás abban rejlik, hogy a telepítési folyamat során meg kell adnia a fent említett integrációs kulcsot, titkos kulcsot, API-gazdanevet.
  • Tulajdonképpen ennyi. Most, amikor legközelebb RDP-n keresztül jelentkezik be a szerverre, a képernyőn három mező lesz: felhasználónév, jelszó és Duo egyszeri kulcs. Ennek megfelelően már nem lehet csak bejelentkezési névvel és jelszóval bejelentkezni a rendszerbe.

    • Amikor egy új felhasználó először próbál bejelentkezni, egyszer át kell mennie a Duo Security ellenőrzési folyamatán. A szolgáltatás egy speciális linket ad neki, amelyet követően meg kell adnia telefonszámát, és várnia kell az ellenőrző hívásra. További kulcsok beszerzéséhez (vagy első alkalommal történő beszerzéséhez) írja be az „sms” kulcsszót. Ha telefonhívással szeretne hitelesíteni, írja be a „phone” szót, Duo Push használata esetén pedig a „push” kifejezést. A szerverhez való összes (sikeres és sikertelen) kapcsolódási kísérlet előzménye megtekinthető fiókjában a Duo Security webhelyén, ha először kiválasztja a kívánt integrációt, és belép a „Hitelesítési naplóba”.

    Csatlakoztassa a Duo Security-t bárhol!

    A kéttényezős hitelesítéssel nemcsak az RDP vagy az SSH, hanem a VPN-ek, RADIUS-kiszolgálók és bármilyen webszolgáltatás is védhető. Például vannak kész kliensek, amelyek további hitelesítési réteget adnak a népszerű Drupal és WordPress motorokhoz. Ha nincs kész kliens, ne keseredjen el: bármikor saját maga is hozzáadhat kétfaktoros hitelesítést alkalmazásához vagy webhelyéhez a rendszer által biztosított API segítségével. Az API-val való munkavégzés logikája egyszerű – kérést kell küldeni egy adott metódus URL-jére, és elemezni kell a visszaadott választ, amely JSON formátumban (vagy BSON, XML) érkezhet. A Duo REST API teljes dokumentációja elérhető a hivatalos webhelyen. Csak annyit mondok, hogy vannak ping, check, preauth, auth, status metódusok, amelyek nevéből könnyen kitalálható, hogy mire szánják.

    SSH védelme

    Nézzünk egy másik típusú integrációt - a "UNIX integrációt" a biztonságos hitelesítés megvalósítására. Újabb integrációt adunk a Duo Security profilunkhoz, és folytatjuk az ügyfél telepítését a rendszerre.

    Utóbbi forráskódját letöltheti a bit.ly/IcGgk0 címről, vagy átveheti a lemezünkről. használtam legújabb verzió- 1.8. A kliens egyébként a legtöbb nix platformon működik, így könnyen telepíthető FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX és AIX rendszerekre. A felépítési folyamat szabványos - konfigurálás && make && sudo make install. Az egyetlen dolog, amit javaslok, az a configure használata a --prefix=/usr kapcsolóval, különben a kliens nem találja meg a szükséges könyvtárakat indításkor. A sikeres telepítés után lépjen az /etc/duo/login_duo.conf konfigurációs fájl szerkesztéséhez. Ezt root-tól kell megtenni. A sikeres működéshez minden változtatást be kell állítani az integrációs kulcs, titkos kulcs, API gazdagépnév értékeinek megadása, amelyek az integrációs oldalon találhatók.

    ; Duo integrációs kulcs = INTEGRATION_KEY; Duo titkos kulcskulcs = SECRET_KEY; Duo API hostnamehost = API_HOSTNAME

    Ha az összes SSH-n keresztül bejelentkező felhasználót kétfaktoros hitelesítésre szeretné kényszeríteni, adja hozzá a következő sort az /etc/ssh/sshd_config fájlhoz:

    > ForceCommand /usr/local/sbin/login_duo

    Lehetőség van arra is, hogy a kéttényezős hitelesítést csak egyéni felhasználók számára szervezze meg, ha egy csoportba egyesíti őket, és megadja ezt a csoportot a login_duo.conf fájlban:

    > csoport = kerék

    Ahhoz, hogy a változtatások érvénybe lépjenek, csak újra kell indítani az ssh démont. Mostantól a bejelentkezési jelszó sikeres megadása után a felhasználó további hitelesítést kér. Egy finomságot külön meg kell jegyezni ssh beállításokat- Erősen ajánlott letiltani a PermitTunnel és az AllowTcpForwarding beállításokat a konfigurációs fájlban, mivel a démon a hitelesítés második szakaszának megkezdése előtt alkalmazza őket. Így, ha a támadó helyesen írja be a jelszót, a porttovábbításnak köszönhetően hozzáférhet a belső hálózathoz, mielőtt a hitelesítés második szakasza befejeződik. Ennek elkerülése érdekében adja hozzá a következő beállításokat az sshd_config fájlhoz:

    PermitTunnel noAllowTcpForwarding sz

    Most a szervere egy dupla fal mögött van, és a támadónak sokkal nehezebb bejutni abba.

    További beállítások

    Ha bejelentkezik Duo Security-fiókjába, és a „Beállítások” szakaszba lép, néhány beállítást az Ön igényei szerint módosíthat. Az első fontos rész a „Telefonhívások”. Ez határozza meg azokat a paramétereket, amelyek akkor lesznek érvényben, amikor egy telefonhívást használnak a hitelesítés megerősítésére. A „Voice callback keys” menüpontban megadhatja, hogy melyik telefongombot kell megnyomni a hitelesítés megerősítéséhez. Alapértelmezés szerint az érték „Nyomja meg bármelyik billentyűt a hitelesítéshez” – vagyis bármelyiket megnyomhatja. Ha a „Különböző billentyűk lenyomása a hitelesítéshez vagy csalás bejelentéséhez” értéket állítja be, akkor két kulcsot kell beállítania: az elsőre kattintva megerősíti a hitelesítést (Authentikációs kulcs), a másodikra ​​(Csalás bejelentésének gombja) azt jelenti, hogy nem kezdeményezte a hitelesítési folyamatot , vagyis valaki megkapta a jelszavunkat, és ezzel próbál bejelentkezni a szerverre. Az „SMS-jelszók” elem lehetővé teszi, hogy beállítsa az egy SMS-ben szereplő jelkódok számát és élettartamát (érvényességét). A „Kizárás és csalás” paraméter lehetővé teszi, hogy beállítsa azt az e-mail címet, amelyre értesítést küldjön, ha bizonyos számú sikertelen bejelentkezési kísérlet történik a szerverre.

    Használd!

    Meglepő módon sokan még mindig figyelmen kívül hagyják a kéttényezős hitelesítést. Nem értem, miért. Ez valóban nagyban növeli a biztonságot. Szinte bármire megvalósítható, és a megfelelő megoldások ingyen is elérhetőek. Akkor miért? Lustaságból vagy hanyagságból.

    Analóg szolgáltatások
    • Signify (www.signify.net) A szolgáltatás három lehetőséget kínál a kéttényezős hitelesítés megszervezésére. Az első az elektronikus kulcsok használata. A második módszer a jelkulcsok használata, amelyeket SMS-ben küldenek a felhasználó telefonjára, vagy a címre email. Harmadik lehetőség - mobil alkalmazás Mert Android telefonok, iPhone, BlackBerry, amely egyszeri jelszavakat generál (lényegében a Duo Mobile analógja). A szolgáltatás célja nagy cégek, ezért teljesen kifizetett.
    • SecurEnvoy (www.securenvoy.com) Azt is lehetővé teszi, hogy mobiltelefonját második biztonsági rétegként használja. A jelszót SMS-ben vagy e-mailben küldik el a felhasználónak. Minden üzenet három jelszót tartalmaz, vagyis a felhasználó háromszor jelentkezhet be, mielőtt új részt kérne. A szolgáltatás szintén fizetős, de ingyenes 30 napos időszakot biztosít. Jelentős előnye a natív és harmadik féltől származó integrációk nagy száma.
    • PhoneFactor (www.phonefactor.com) Ez a szolgáltatás lehetővé teszi az ingyenes kétfaktoros hitelesítés megszervezését legfeljebb 25 felhasználó számára, havonta 500 ingyenes hitelesítést biztosítva. A védelem megszervezéséhez le kell töltenie és telepítenie kell egy speciális klienst. Ha kétfaktoros hitelesítést kell hozzáadnia webhelyéhez, használhatja a hivatalos SDK-t, amely részletes dokumentációt és példákat tartalmaz a következő programozási nyelvekhez: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

    A Windows operációs rendszer szerververzióiban nagyszerű lehetőség nyílik arra, hogy a felhasználó által a számítógépre való bejelentkezéskor korábban megadott hitelesítő adatokat használjuk a kapcsolatokhoz. Így nem kell minden alkalommal megadniuk felhasználónevüket és jelszavukat, amikor egy közzétett alkalmazást vagy csak egy távoli asztalt indítanak. Ezt a dolgot egyszeri bejelentkezésnek nevezik technológiával CredSSP(Hitelesítés-biztonsági szolgáltató).

    Leírás

    Ahhoz, hogy ez működjön, a következő feltételeknek kell teljesülniük:

    • A terminálkiszolgálónak és a hozzá csatlakozó kliensnek a tartományban kell lennie.
    • A terminálkiszolgálót konfigurálni kell az operációs rendszeren Windows Server 2008, Windows Server 2008 R2 vagy újabb.
    • Az ügyfélszámítógépen a következő operációs rendszerrel kell rendelkezni: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 vagy Windows Server 2008 R2.

    Windows XP SP3 esetén további lépésekre lesz szükség. Szükséges egy javítás telepítése, amely lehetővé teszi a Windows XP SP3 beállításainak konfigurálását csoportházirendeken keresztül.
    Ez a javítás (MicrosoftFixit50588.msi) letölthető weboldalunkról és weboldalunkról is:

    Először állítsa be a terminálkiszolgáló biztonsági szintjét „Tárgyalás” módba:

    Ebben 2 paramétert konfigurálunk: Az alapértelmezett hitelesítő adatok továbbításának engedélyezése és az alapértelmezett hitelesítő adatok delegálásának engedélyezése „csak NTLM” szerverhitelesítéssel

    Alapértelmezett hitelesítő adatok delegálásának engedélyezése csak NTLM szerverhitelesítéssel – csak akkor kell konfigurálni, ha a terminálkiszolgáló nincs Kerberos vagy SSL tanúsítvánnyal hitelesítve.

    Itt megadjuk a szerver(eke)t, amelyekhez a felhasználókat a bejelentkezési nevük és jelszavaik újbóli megadása nélkül engedélyezni szeretnénk. Beírhatod őket maszkkal vagy egyenként is. A súgó részletesen leírja.

    Ezt követően alkalmazzuk a házirendet a kívánt számítógép(ek)en, és ellenőrizzük, hogy a felhasználók bejelentkezési név és jelszó megadása nélkül hozzáférhetnek-e a fenti szabályzatokban meghatározott terminálkiszolgálókhoz.

    Alekszandr Antipov

    A cikk áttekintést nyújt a Single Sign-On transzparens engedélyezési technológia és a biztonsági szolgáltató Credential Security Service Provider (CredSSP) működési algoritmusáról. Figyelembe kell venni a kliens és a szerver részek beállításának módját.


    A távoli asztal vagy terminálkiszolgálón közzétett alkalmazás elindításakor a felhasználó számára az egyik fő kellemetlenség az, hogy meg kell adnia a hitelesítő adatait. Korábban a távoli asztal ügyfélbeállításaiban a hitelesítési adatok mentésére szolgáló mechanizmust használták a probléma megoldására. azonban ez a módszer számos jelentős hátránya van. Például a jelszó időszakos megváltoztatásakor manuálisan kellett módosítani a terminál kliens beállításaiban.

    Ebben a tekintetben a távoli asztallal végzett munka egyszerűsítése érdekében a Windows Server 2008 rendszerben lehetővé vált az SSO (Single Sign-on) transzparens engedélyezési technológia használata. Ennek köszönhetően a felhasználó a terminálkiszolgálóra való bejelentkezéskor a helyi számítógépére való bejelentkezéskor megadott hitelesítő adatokat használhatja, ahonnan a távoli asztali kliens elindul.

    A cikk áttekintést nyújt a Single Sign-On transzparens engedélyezési technológia és a biztonsági szolgáltató Credential Security Service Provider (CredSSP) működési algoritmusáról. Figyelembe kell venni a kliens és a szerver részek beállításának módját. A távoli asztali szolgáltatások átlátható engedélyezésével kapcsolatos számos gyakorlati kérdés is megtalálható.

    Elméleti információk

    Az SSO technológia lehetővé teszi a felhasználói hitelesítő adatok mentését, és azok automatikus átvitelét terminálkiszolgálóhoz való csatlakozáskor. A csoportházirendek segítségével meghatározhatja azokat a kiszolgálókat, amelyeknél ez az engedélyezési módszer használatos. Ebben az esetben az összes többi terminálszerver esetében a bejelentkezés a hagyományos módon történik: bejelentkezési név és jelszó megadásával.

    Az átlátszó engedélyezési mechanizmusok először a Windows Server 2008 és a Windows Vista rendszerben jelentek meg. köszönhetően az új CredSSP biztonsági szolgáltatónak. Lehetővé tette a gyorsítótárazott hitelesítő adatok biztonságos csatornán keresztüli továbbítását (Transport Layer Security (TLS) használatával). A Microsoft ezt követően kiadta a megfelelő frissítéseket a Windows XP SP3 rendszerhez.

    Nézzük ezt részletesebben. A CredSSP a következő forgatókönyvekben használható:

    • Mert hálózati réteg hitelesítés (NLA), amely lehetővé teszi a felhasználó előzetes felismerését teljes telepítés kapcsolatok;
    • SSO esetén a felhasználói hitelesítő adatok tárolása és a terminálnak való továbbítása.

    Amikor egy farmon belüli munkamenetet állít vissza, a CredSSP felgyorsítja a kapcsolat létrehozásának folyamatát, mert a terminálszerver teljes kapcsolat létrehozása nélkül határozza meg a felhasználót (hasonlóan az NLA-hoz).

    A hitelesítési folyamat a következő algoritmust követi:

  • A kliens TLS használatával kezdeményezi a biztonságos csatorna létrehozását a szerverrel. A szerver megadja neki a tanúsítványt, amely tartalmazza a nevet, a hitelesítési jogosultságot és a nyilvános kulcsot. A szervertanúsítvány önaláírható.
  • Munkamenet jön létre a szerver és az ügyfél között. Ehhez létrejön egy megfelelő kulcs, amely a későbbiekben részt vesz a titkosításban. A CredSSP az Simple and Protected Negotiate (SPNEGO) protokollt használja a kiszolgáló és az ügyfél kölcsönös hitelesítésére, hogy megbízhassanak egymásban. Ez a mechanizmus lehetővé teszi, hogy az ügyfél és a kiszolgáló hitelesítési mechanizmust (például Kerberos vagy NTLM) válasszon.
  • Az elfogás elleni védelem érdekében a kliens és a szerver felváltva titkosítja a szervertanúsítványt a munkamenetkulccsal, és továbbítja azt egymásnak.
  • Ha a csere és az eredeti tanúsítvány eredménye megegyezik, a CredSSP az ügyfélen elküldi a felhasználó hitelesítő adatait a kiszolgálónak.

    • Így a hitelesítő adatok továbbítása titkosított csatornán keresztül történik, lehallgatás elleni védelemmel.

    Beállítások

    A CredSSP biztonsági szolgáltató az operációs rendszer része, és a Windows Vista, a Windows Server 2008, a Windows 7 és a Windows Server 2008 R2 része. Ezenkívül külön frissítésként telepíthető a Windows XP SP3 rendszerre. Ezt a folyamatot részletesen leírja „A hitelesítő adatok biztonsági támogatási szolgáltatójának (CredSSP) leírása a Windows XP Service Pack 3 rendszerben” című cikkben." A CredSSP Windows XP SP3 rendszeren történő telepítéséhez és engedélyezéséhez kövesse az alábbi lépéseket.

    1. Futtassa a regedit rendszerleíró adatbázis-szerkesztőt, és lépjen a következő ágra: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

    2. Adjon hozzá tspkg értéket a Biztonsági csomagok kulcshoz

    3. Lépjen a rendszerleíró adatbázisba: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

    4. Adja hozzá a credssp.dll értékét a SecurityProviders kulcshoz (a kulcs többi értéket változatlanul kell hagyni).

    A CredSSP engedélyezése után konfigurálnia kell a használatát a csoportházirendek vagy a megfelelő beállításkulcsok segítségével. Az egyszeri bejelentkezés ügyfélszámítógépeken történő konfigurálásához használja a csoportházirendeket a következő szakaszból:

    Számítógép konfigurációja\Felügyeleti sablonok\Rendszer\Hitelesítési adatok delegálása .

    Az operációs rendszerek orosz nyelvű verzióiban ez így néz ki (1. ábra).

    Rizs. 1. A hitelesítő adatok átvitelének kezelése csoportházirendek segítségével

    Az egyszeri bejelentkezés használatához engedélyeznie kell a házirendet:

    Az alapértelmezett hitelesítő adatok továbbításának engedélyezése.

    Ezenkívül az engedélyezést követően meg kell határoznia, hogy mely kiszolgálókhoz használja ezt az engedélyezési módszert. Ehhez a következő lépéseket kell végrehajtania.

    A szabályzatszerkesztő ablakban (2. ábra) kattintson a „Megjelenítés” gombra

    Rizs. 2. Csoportházirend szerkesztő ablak

    Adja hozzá a terminálkiszolgálók listáját (3. ábra).

    Rizs. 3. Terminálkiszolgáló hozzáadása az átlátható engedélyezéshez

    A szerver hozzáadási sorának formátuma a következő:

    TERMSRV/kiszolgáló_neve .

    A szervereket tartománymaszk alapján is megadhatja. Ebben az esetben a sor a következőképpen alakul:

    TERMSRV/*.domain_name .

    Ha nem lehetséges a csoportházirendek használata, a megfelelő beállításokat a Rendszerleíróadatbázis-szerkesztővel lehet beállítani. Például azért Windows beállítások Az XP Sp3 a következő rendszerleíró fájlt használhatja:

    Windows Registry Editor 5.00 verzió

    "Biztonsági csomagok"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

    00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

    6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

    00,73,00,70,00,6b,00,67,00,00,00,00,00

    "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

    "AllowDefaultCredentials"=dword:00000001

    "ConcatenateDefaults_AllowDefault"=dword:00000001

    "1"="termsrv/*.mydomain.com"

    Itt a mydomain.com helyett a domain nevet kell helyettesítenie. Ebben az esetben a terminálkiszolgálókhoz való csatlakozáskor domain név(például termserver1.mydomain.com) transzparens engedélyezést fog használni.

    Az egyszeri bejelentkezési technológia terminálkiszolgálón való használatához a következő lépéseket kell végrehajtania.

  • Nyissa meg a Terminálszolgáltatások konfigurációs konzolját (tsconfig.msc).
  • A kapcsolat szakaszban lépjen az RDP-Tcp tulajdonságaira.
  • Az „Általános” lapon állítsa a biztonsági szintet „Tárgyalás” vagy „SSL (TLS 1.0)” értékre (4. ábra).

    • Rizs. 4. A biztonsági szint beállítása a terminálkiszolgálón

    Ezen a ponton a kliens és a szerver részek beállítása befejezettnek tekinthető.

    Gyakorlati információk

    Ebben a részben áttekintjük a transzparens engedélyezési technológia használatának korlátait és a használat során felmerülő problémákat.

    • Az egyszeri bejelentkezési technológia csak akkor működik, ha Windows XP SP3-tól és régebbi verziótól eltérő operációs rendszert futtató számítógépekről csatlakozik. Számítógépek operációs rendszer Windows Vista, Windows Server 2008, Windows 7 és Windows Server 2008 R2.
    • Ha az a terminálkiszolgáló, amelyhez a kapcsolatot létesítik, nem hitelesíthető Kerberoson vagy SSL-tanúsítvánnyal, az egyszeri bejelentkezés nem fog működni. Ez a korlátozás megkerülhető a következő szabályzattal:
      A hitelesítési adatok delegálásának engedélyezése az alapértelmezett „csak NTLM” szerverhitelesítésre.
    • A csoportházirend engedélyezésének és konfigurálásának algoritmusa hasonló a fent bemutatotthoz. A beállításnak megfelelő rendszerleíró fájl így néz ki:

    "AllowDefCredentialsWhenNTLMOnly"=dword:00000001

    "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

    "1"="termsrv/*.mydomain.com"

    Az ezzel a módszerrel végzett hitelesítés kevésbé biztonságos, mint a tanúsítványok vagy a Kerberos használata.

    • Ha egy szerver hitelesítő adatait a terminálügyfél beállításaiban menti, akkor azok magasabb prioritást élveznek, mint az aktuális hitelesítési adatok.
    • Az egyszeri bejelentkezés csak tartományi fiókok használatakor működik.
    • Ha a kapcsolat a terminálkiszolgálóval TS Gateway-n keresztül történik, bizonyos esetekben a TS Gateway szerver beállításai elsőbbséget élvezhetnek a terminálügyfél SSO beállításaival szemben.
    • Ha a terminálkiszolgáló úgy van beállítva, hogy minden alkalommal bekérje a felhasználói hitelesítő adatokat, az egyszeri bejelentkezés nem fog működni.
    • Az átlátszó engedélyezési technológia csak jelszavakkal működik. Ha intelligens kártyákat használ, az nem fog működni.

    Ahhoz, hogy az egyszeri bejelentkezés megfelelően működjön a Windows XP SP rendszeren, ajánlatos két javítást telepíteni a KB953760-ból: „Ha engedélyezi az SSO-t egy terminálkiszolgálóhoz egy Windows XP SP3 alapú ügyfélszámítógépről, a rendszer továbbra is kéri a felhasználói hitelesítő adatokat, amikor bejelentkezik. a terminálkiszolgálóhoz ».

    Bizonyos esetekben előfordulhat, hogy a transzparens engedélyezési technológia ugyanazon a terminálkliensen működik, vagy nem, a csatlakozó felhasználó profiljától függően. A probléma a felhasználói profil újbóli létrehozásával megoldódik. Ha ez túlságosan időigényes feladat, próbálja meg a következő tanácsokat használni: „RemoteApp Single Sign On (SSO) egy Windows 7 ügyfélről» Microsoft Technet fórumok. Különösen ajánlott a beállítások visszaállítása internet böngésző vagy hagyja jóvá a megfelelő kiegészítőt hozzá.

    Az egyszeri bejelentkezési technológia másik jelentős korlátja, hogy nem működik, ha közzétett alkalmazásokat futtat a TS Web Accessen keresztül. Ebben az esetben a felhasználó kétszer kénytelen megadni a hitelesítő adatokat: a webes felületre való bejelentkezéskor és a terminálszerveren történő engedélyezéskor.

    A Windows Server 2008 R2 rendszerben a helyzet jobbra változott. Több részletes információk ez a következő cikkben található: „Introducing Web Single Sign-On for RemoteApp and Desktop Connections” ».

    Következtetés

    A cikk az átlátszó engedélyezés technológiáját tárgyalja az egyszeri bejelentkezési terminálkiszolgálókon. Használata lehetővé teszi, hogy csökkentse a felhasználó által a terminálkiszolgálóra való bejelentkezéshez és a távoli alkalmazások elindításához szükséges időt. Ezenkívül a segítségével elég egyszer megadni a hitelesítő adatait a helyi számítógépre való bejelentkezéskor, majd használni őket a terminál szerverek tartomány. A hitelesítő adatok átvitelének mechanizmusa meglehetősen biztonságos, a kiszolgáló és a kliens részek beállítása pedig rendkívül egyszerű.



    Népszerű a kategóriában:
    Hogyan készítsünk karaoke klipet számítógépen?
    Hogyan készítsünk karaoke klipet számítógépen?
    olvas
    Az Origin alkalmazás szükséges a játékhoz, de nincs telepítve. A FIFA 16-hoz Origin szükséges.
    Az Origin alkalmazás szükséges a játékhoz, de nincs telepítve a FIFA...
    olvas
    Személyes oldal regisztrációja a Facebook közösségi hálózaton
    Személyes oldal regisztrációja a Facebook közösségi hálózaton
    olvas
    Egyszerű Nmap Nmap Scan futtatása
    Egyszerű Nmap Nmap Scan futtatása
    olvas
    
    Legfrissebb cikkek
    Hogyan forgatjunk el egy képet néhány fokkal...
    olvas
    Hirdetés letiltása a Yandex böngészőben Hol...
    olvas
    Wi-Fi-kapcsolati problémák elhárítása a következőn:
    olvas
    Jelszó módosítása a Windows 10 profilban
    olvas
    Útmutató a vezeték nélküli útválasztók beállításához...
    olvas
    Hogyan válasszunk merevlemezt és melyiket érdemesebb megvenni...
    olvas
    Meizu a bábuknak. Hívások és címjegyzék....
    olvas
    PDFMaster program letöltése
    olvas
    Top