이중 갑옷 뒤에. 개인 인증서를 사용하여 RDP Rdp 로그인을 통해 원격 액세스를 설정하는 방법

확실히 많은 분들이 이미 이 약어를 듣고 보신 적이 있을 것입니다. 이는 문자 그대로 원격 데스크톱 프로토콜로 번역됩니다. 이 애플리케이션 수준 프로토콜의 작동에 대한 기술적 복잡성에 관심이 있는 사람은 동일한 Wikipedia에서 시작하는 문헌을 읽을 수 있습니다. 우리는 순전히 실용적인 측면을 고려할 것입니다. 즉, 이 프로토콜을 사용하면 아래의 컴퓨터에 원격으로 연결할 수 있다는 사실 윈도우 제어내장을 사용하는 다양한 버전 윈도우 도구"원격 데스크톱에 연결하는 중입니다."

RDP 프로토콜 사용의 장단점은 무엇입니까?

즐거운 것부터 시작합시다 - 전문가들과 함께. 장점은 RDP 클라이언트라고 더 정확하게 부르는 이 도구를 원격 제어를 관리할 컴퓨터의 모든 Windows 사용자와 컴퓨터에 대한 원격 액세스를 열려는 사용자 모두가 사용할 수 있다는 것입니다.

원격 데스크톱 연결을 통해 원격 데스크톱을 보고 원격 컴퓨터의 리소스를 사용할 수 있을 뿐만 아니라 원격 데스크톱에 연결하는 것도 가능합니다. 로컬 디스크, 프린터, 스마트 카드 등 물론, RDP를 통해 비디오를 보거나 음악을 듣고 싶다면 이 프로세스가 즐거움을 선사할 것 같지 않습니다. 왜냐하면... 대부분의 경우 슬라이드 쇼가 표시되며 오디오가 중단될 수 있습니다. 그러나 RDP 서비스는 이러한 작업을 위해 개발되지 않았습니다.

의심할 여지 없는 또 다른 이점은 장점이 있지만 대부분 유료인 추가 프로그램 없이 컴퓨터에 연결된다는 것입니다. RDP 서버(원격 컴퓨터)에 대한 액세스 시간은 원하는 경우에만 제한됩니다.

마이너스가 2개밖에 없습니다. 하나는 중요하지만 다른 하나는 그다지 중요하지 않습니다. 첫 번째이자 필수적인 것은 RDP로 작업하려면 연결이 이루어지는 컴퓨터에 흰색(외부) IP가 있거나 라우터에서 이 컴퓨터로 포트를 "전달"할 수 있어야 한다는 것입니다. 다시 외부 IP가 있어야 합니다. 정적인지 동적인지는 중요하지 않지만 반드시 그래야 합니다.

두 번째 단점은 그다지 중요하지 않습니다. 최신 버전의 클라이언트는 더 이상 16색 색상 구성표를 지원하지 않습니다. 최소 - 15비트. 이로 인해 초당 64킬로비트를 초과하지 않는 속도로 정체된 인터넷을 통해 연결할 때 RDP 속도가 크게 느려집니다.

RDP를 통해 원격 액세스를 무엇에 사용할 수 있습니까?

조직에서는 일반적으로 RDP 서버를 사용하여 협동 1C 프로그램에서. 그리고 일부는 여기에 사용자 워크스테이션을 배포하기도 합니다. 따라서 사용자는 특히 출장 중인 경우 3G 인터넷이나 호텔/카페 Wi-Fi를 사용하는 경우 원격으로 직장에 연결하여 모든 문제를 해결할 수 있습니다.

어떤 경우에는 가정 사용자가 자신의 컴퓨터에 원격 액세스를 사용할 수 있습니다. 가정용 컴퓨터홈 리소스에서 일부 데이터를 가져옵니다. 원칙적으로 원격 데스크톱 서비스를 사용하면 텍스트, 엔지니어링 및 작업을 완벽하게 수행할 수 있습니다. 그래픽 애플리케이션. 위에서 언급한 이유로 인해 비디오 및 오디오 처리에서는 작동하지 않지만 여전히 매우 중요한 장점입니다. 또한 익명처리, VPN 또는 기타 악령 없이 집에 있는 컴퓨터에 연결하여 회사 정책에 따라 폐쇄된 리소스를 직장에서 볼 수 있습니다.

인터넷 준비

이전 섹션에서는 RDP를 통해 원격 액세스를 활성화하려면 외부 IP 주소가 필요하다는 사실에 대해 설명했습니다. 이 서비스는 제공자에 의해 제공될 수 있으므로 우리는 전화나 편지를 보내거나 직접 방문합니다. 개인 영역이 주소를 제공하도록 준비합니다. 이상적으로는 정적인 것이어야 하지만 원칙적으로는 동적인 것도 가능합니다.

누군가가 용어를 이해하지 못한다면 고정 주소는 일정하고 동적 주소는 수시로 변경됩니다. 동적 IP 주소를 완벽하게 사용하기 위해 동적 도메인 바인딩을 제공하는 다양한 서비스가 개발되었습니다. 무엇을 어떻게, 이 주제에 대한 기사가 곧 나올 것입니다.

라우터 준비

컴퓨터가 ISP 케이블을 통해 인터넷에 직접 연결되어 있지 않고 라우터를 통해 연결되어 있는 경우에도 이 장치를 사용하여 몇 가지 조작을 수행해야 합니다. 즉, 서비스 포트인 3389를 포워딩합니다. 그렇지 않으면 라우터의 NAT가 사용자를 허용하지 않습니다. 홈 네트워크. 조직에서 RDP 서버를 설정할 때도 마찬가지입니다. 포트를 전달하는 방법을 모르는 경우 라우터에서 포트를 전달하는 방법(새 탭에서 열림)에 대한 기사를 읽은 후 여기로 돌아오세요.

컴퓨터 준비

컴퓨터에 원격으로 연결하는 기능을 만들려면 정확히 두 가지 작업을 수행해야 합니다.

시스템 속성에서 연결을 허용하십시오.
- 현재 사용자에 대한 비밀번호를 설정하거나(비밀번호가 없는 경우) RDP를 통해 연결하기 위한 비밀번호로 새 사용자를 생성합니다.

사용자를 어떻게 해야 할지 스스로 결정하세요. 그러나 서버가 아닌 운영 체제에서는 기본적으로 다중 로그인을 지원하지 않습니다. 저것들. 로컬(콘솔)로 로그인한 후 원격으로 동일한 사용자로 로그인하면 로컬 화면이 잠기고 같은 위치의 세션이 원격 데스크톱 연결 창에서 열립니다. RDP를 종료하지 않고 로컬에서 비밀번호를 입력하면 원격 접속에서 쫓겨나게 되며, 현재 화면이 로컬 모니터에 표시됩니다. 콘솔에 한 사용자로 로그인하고 원격으로 다른 사용자로 로그인을 시도하는 경우에도 마찬가지입니다. 이 경우 시스템은 로컬 사용자 세션을 종료하라는 메시지를 표시하는데, 이는 항상 편리하지 않을 수 있습니다.

따라서 시작으로 이동하여 컴퓨터 메뉴를 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭하십시오.

시스템 속성에서 선택 추가 옵션시스템

열리는 창에서 원격 액세스 탭으로 이동합니다...

...더보기...를 클릭하세요.

그리고 이 페이지의 유일한 확인란을 선택하세요.

이것이 바로 "집에서 만든 것"이다 윈도우 버전 7 - Pro 이상을 사용하시는 분들은 체크박스가 더 많아지며, 접근권한의 차등이 가능합니다.

어디서나 확인을 클릭하세요.

이제 원격 데스크톱 연결(시작>모든 프로그램>보조 프로그램)로 이동하여 홈 네트워크에서 연결하고 모든 리소스를 사용하려는 경우 컴퓨터의 IP 주소 또는 이름을 입력할 수 있습니다.

이와 같이. 원칙적으로 모든 것이 간단합니다. 갑자기 궁금한 점이 있거나 불분명한 점이 있으면 댓글을 환영합니다.

간단히 말해서: 터미널 서버에 액세스하기 위한 2단계 인증을 구성할 수 있습니다. MS 원격 데스크톱 연결 또는 원격 데스크톱 웹 연결 유틸리티를 사용하면 USB 키(토큰)를 사용하여 원격 데스크톱에 쉽게 연결할 수 있습니다.

Rohos 로그온 키가 원격 데스크톱에서 작동하는 방식.

Rohos 로그온 키는 Windows 터미널 서비스 인증 프로세스에 통합되어 기존 시스템 액세스 제어 인프라에 2단계 인증 계층을 추가합니다. Rohos 로그온 키를 설정한 후 사용자는 USB 키만 사용하거나 USB 키와 비밀번호를 사용하여 원격 데스크톱에 로그인할 수 있습니다.

터미널 서버 보호의 장점.

• 이 방법을 사용하면 특정 사용자 또는 사용자 목록에 대한 원격 액세스를 제한할 수 있습니다.
• 이러한 사용자는 매번 USB 키를 삽입하거나 OTP 코드를 입력해야 합니다.
• 각 키는 고유하며 위조할 수 없습니다.
• 설정할 때 USB 키를 서버에 직접 연결할 필요가 없습니다.
• 액세스하는 모든 컴퓨터에 프로그램을 설치할 필요는 없습니다*.
• 관리자는 액세스를 위해 사용자에게 USB 키를 사전 구성하고 발급하기만 하면 됩니다.

전자 USB 키 또는 일회용 비밀번호를 통해 보안 강화:

• SafeNet, eToken, iKey, ePass 및 PKCS#11을 지원하는 기타 Windows+ USB 키 비밀번호.
• 윈도우 비밀번호 + USB 플래시담체.
• SMS를 통해 전송되는 Windows 비밀번호 + OTP 코드 휴대전화사용자.
• 창구 비밀번호 + OTP 코드 포함 구글 프로그램사용자의 스마트폰에 설치된 인증기입니다.
• USB 키에 암호화된 비밀번호만 있습니다.
• 전자 USB 키 + 키 PIN 코드;
• 전자 USB 키 + 키 PIN + Windows 비밀번호;

Rohos 로그온 키 설정을 시작하기 전에 다음을 결정해야 합니다.

• 인증에 어떤 유형의 USB 키가 사용됩니까?
• 어떤 유형의 인증을 사용하시겠습니까?
  1) 2단계 = USB 키 + Windows 비밀번호,
  2) 1단계 = USB 키(사용 가능한 경우 USB 키 + PIN 키 옵션도 포함),
  3) USB Key는 로컬 PC에서만 사용하세요. 이 경우 터미널 서버는 클라이언트에 USB 키가 있는지 여부를 확인하지 않습니다.

터미널 서버에 대한 인증 방법	USB 키 유형	클라이언트 및 터미널 서버에 Rohos Logon Key 소프트웨어 설치
		Windows Vista/7/8 클라이언트	TS 서버 윈도우 서버 2008/2012
1) 2단계 인증(USB 키 및 Windows 비밀번호).	USB 토큰(PKCS#11) 스마트 카드 구글 OTP 유비키 USB 플래시 드라이브*
2) 단일 요소 인증(USB Key만 해당)	USB 플래시 드라이브 USB 토큰(PKCS#11) 스마트 카드++3)
3) 편의를 위해 USB Key를 사용합니다. 터미널 서버는 USB 키가 있는지 확인하지 않습니다.	모든 유형의 USB 키

* USB 플래시 드라이브를 액세스 키로 사용하는 경우 클라이언트 컴퓨터에 프로그램 또는 . 서버에서 키를 생성하는 과정에서 키가 USB 드라이브에 복사되어 USB 드라이브를 원격 데스크톱에 연결하기 위한 키로 사용할 수 있습니다. 이 이식 가능한 구성 요소는 서버에 원격으로 연결하는 데 사용되는 다른 워크스테이션에서 실행할 수 있습니다.

USB 키 유형과 이중 인증 방법을 결정한 후에는 Rohos 로그온 키 설치를 시작할 수 있습니다.

Rohos 로그온 키 프로그램을 사용하여 원격 데스크톱을 통한 인증에 적합한 USB 키 및 기술 유형:

스마트 카드, 자바 카드(Mifare 1K)

PKCS11 기반 토큰. 예를 들어 SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey가 있습니다.

Google Authenticator와 같은 Yubikey 및 OTP 토큰

USB 플래시 드라이브. 이 경우 키를 생성한 후 프로그램의 휴대용 구성 요소가 USB 드라이브에 복사됩니다.

Rohos Logon Key 프로그램을 사용하여 연결을 준비하는 단계:

1. 터미널 서버에 Rohos Logon Key 프로그램을 설치합니다. 프로그램 설정에서 USB 키 유형을 지정하세요.

2. 키를 생성하기 위해 원격 데스크톱에 액세스할 컴퓨터에 Rohos Management Tools 패키지를 설치합니다.

3. RDC를 통한 액세스를 위한 키 생성:

향후 USB 키를 로컬 컴퓨터에 연결하세요. RDC를 통해 터미널 서버에 연결합니다. 원격 데스크톱 프로그램 설정에서 어떤 로컬 리소스( USB 드라이브또는 스마트 카드)을 원격 컴퓨터에 제공해야 합니다.

터미널 서버에서 Rohos Logon Key 프로그램을 실행합니다. 키 설정 명령을 사용하여 키를 생성할 사용자를 지정하고 필요한 경우 해당 암호를 입력합니다.

참고: 일부 USB 유형키는 Rohos 관리 도구 패키지의 USB 키 관리자 프로그램에서 생성할 수 있습니다. 이 패키지는 관리자의 컴퓨터에 설치됩니다. 이 프로그램에서 모든 키를 생성한 후 해당 목록을 터미널 서버로 내보내야 합니다. . 동일한 프로그램에는 다음으로 복사하는 버튼이 있습니다. USB 드라이브프로그램들.

4. 터미널 서버에 Rohos 로그온 키 설정:

모든 키를 생성한 후 특정 사용자가 USB 키 없이 서버에 액세스하는 것을 금지하여 서버의 보안을 강화할 수 있습니다. Rohos 로그온 키 프로그램 설정을 열고 USB 키 목록을 통해서만 액세스를 허용합니다.

옵션:

• 없음
  모든 사용자는 비밀번호 또는 비밀번호를 사용하여 로그인할 수 있습니다. USB를 사용하여열쇠 이 구성은 터미널 서버에는 권장되지 않습니다.
• 모든 사용자의 경우
  이 옵션은 이전 USB 키로만 로그인 허용 옵션과 유사합니다. 모든 사용자는 Windows에 로그인하거나 잠금을 해제하려면 USB 키를 사용해야 합니다.
• 나열된 사용자의 경우
  목록에 있는 사용자만 로그인하려면 USB 키를 사용해야 합니다. 다른 모든 사용자는 비밀번호를 사용하여 로그인할 수 있습니다. 사용자에 대해 USB 키가 생성되면 목록이 자동으로 생성됩니다. USB 키의 사용자 이름이 이 목록에 추가됩니다. 또한 사용자 및 키 목록을 다른 컴퓨터에서 가져올 수 있습니다. 물론 관리자만 이 작업을 수행할 수 있습니다.
• Active Directory의 'rohos' 사용자 그룹의 경우
  rohos 그룹의 각 사용자는 USB 키를 사용해야 합니다.
  주의: rohos 사용자 그룹은 Active Directory 관리자가 생성해야 합니다.
• 원격 데스크톱 로그인의 경우
  로컬 사용자는 USB 키를 사용하거나 사용하지 않고 로그인할 수 있습니다. 원격 로그인은 USB 키를 통해서만 가능합니다. 이 옵션은 터미널 서버의 보안을 강화하는 데 이상적입니다.
• LAN 외부의 원격 데스크톱 로그인의 경우
  사용자 지역 네트워크키 없이 터미널 서버에 로그인할 수 있습니다. 전화 접속, DSL 연결 또는 기타 네트워크를 통해 로그인하는 사용자만 USB 키를 사용해야 합니다.

원격 데스크톱 연결

연결되면 이 네트워크 식별 대화 상자가 표시됩니다.

사용자 이름을 선택하고 비밀번호를 입력해야 합니다. 계정 TS에.

비밀번호 인증에 성공하면 원격 데스크톱에 연결됩니다. 이 단계에서 Rohos Logon Key는 사용자의 USB 키가 있는지 확인합니다.

Rohos 로그온 키는 USB 키가 연결되지 않은 경우 액세스를 중지할 수 있습니다.

일회용 비밀번호가 포함된 토큰을 사용하는 경우 이를 입력하는 창이 나타납니다.

휴대용 Rohos 로그온 키

USB 플래시 드라이브를 사용하지만 USB 플래시 드라이브를 설치할 수 없거나 설치하고 싶지 않은 경우 이 프로그램이 도움이 될 것입니다. 로컬 컴퓨터 Rohos 로그온 키도 Rohos 관리 도구도 아닙니다. 이 구성 요소는 터미널 서버에서 키를 생성하는 동안 USB 플래시 드라이브에 자동으로 복사됩니다. 또는 다음을 실행하여 얻을 수 있습니다. USB 프로그램 Key Manager Pro 라이센스 - 원격 데스크톱을 통해 네트워크 컴퓨터(터미널 서버 아님)에 액세스하고 도메인에서 사용하기 위한 것입니다.

서버 라이센스 - 터미널 서버(원격 데스크톱을 통해 액세스할 수 있는 Windows 2003, 2008,2012)용으로 특별히 설계되었습니다.

Rohos 로그온 키를 15일 동안 무료로 사용해 보세요. Rohos 로그온 키.

이 기간이 지나면 프로그램도 작동하지만 등록하라는 알림이 표시됩니다.

귀하의 데이터에 접근하는 데 유일한 장벽이 비밀번호라면 귀하는 큰 위험에 처해 있습니다. 패스는 해킹되거나, 가로채거나, 트로이 목마에 의해 도난당하거나, 사회 공학을 사용하여 알아낼 수 있습니다. 이 상황에서 이중 인증을 사용하지 않는 것은 거의 범죄에 가깝습니다.

우리는 이미 일회성 키에 대해 두 번 이상 이야기했습니다. 의미는 매우 간단합니다. 공격자가 어떻게든 귀하의 로그인 비밀번호를 알아낸다면, 그는 쉽게 귀하의 이메일에 접근하거나 원격 서버에 연결할 수 있습니다. 그러나 일회성 키(OTP 키라고도 함)와 같은 추가 요소가 있는 경우 아무 것도 작동하지 않습니다. 이러한 키가 공격자의 손에 들어가더라도 한 번만 유효하므로 더 이상 사용할 수 없습니다. 이 두 번째 요소는 추가 통화, SMS를 통해 수신된 코드, 현재 시간을 기반으로 특정 알고리즘을 사용하여 전화기에서 생성된 키일 수 있습니다(시간은 클라이언트와 서버에서 알고리즘을 동기화하는 방법입니다). 똑같다 구글은 이미에서는 오랫동안 사용자에게 2단계 인증(계정 설정에서 몇 번의 클릭)을 활성화할 것을 권장했습니다. 이제 귀하의 서비스에 이러한 보호 계층을 추가할 때입니다!

듀오 시큐리티는 무엇을 제공하나요?

사소한 예입니다. 내 컴퓨터에는 데스크톱에 대한 원격 연결을 위해 "외부"로 열려 있는 RDP 포트가 있습니다. 로그인 비밀번호가 유출되면 공격자는 즉시 전체 권한차에. 따라서 OTP 비밀번호 보호 강화에 대해서는 의문의 여지가 없었습니다. 그냥 완료해야했습니다. 처음부터 다시 시작하고 모든 것을 스스로 구현하려고 하는 것은 어리석은 일이었습니다. 그래서 저는 시장에 나와 있는 솔루션만 살펴보았습니다. 대부분은 상업용으로 판명되었지만(자세한 내용은 사이드바 참조) 소수의 사용자에게는 무료로 사용할 수 있습니다. 집에 꼭 필요한 것. 문자 그대로 모든 것(VPN, SSH 및 RDP 포함)에 대해 2단계 인증을 구성할 수 있는 가장 성공적인 서비스 중 하나가 Duo Security(www.duosecurity.com)입니다. 이 프로젝트의 개발자이자 창립자가 유명한 전문가인 존 오버하이드(John Oberheid)라는 점이 매력을 더했습니다. 정보 보안. 예를 들어, 그는 프로토콜을 선택했습니다. 구글 커뮤니케이션~와 함께 안드로이드 스마트폰, 임의의 애플리케이션을 설치하거나 제거할 수 있습니다. 이 기반은 그 자체로 느껴집니다. 이중 인증의 중요성을 보여주기 위해 사람들은 VPN 서비스회사의 숨겨진 VPN 서버를 빠르게 찾을 수 있는 Hunter(www.vpnhunter.com)(동시에 해당 서버가 작동하는 장비 유형을 결정), 원격 액세스 서비스(OpenVPN, RDP, SSH) 및 기타 인프라 요소 공격자가 로그인 정보와 비밀번호만 알면 내부 네트워크에 접근할 수 있습니다. 서비스의 공식 트위터에서 소유자가 잘 알려진 회사의 스캔에 대한 일일 보고서를 게시하기 시작한 후 계정이 금지되었다는 것이 재밌습니다. :). 듀오시큐리티 서비스는 물론 사용자가 많은 기업에 이중 인증을 도입하는 것을 일차적으로 목표로 하고 있다. 다행스럽게도 무료 개인 계정을 생성하여 10명의 사용자에 대한 2단계 인증을 무료로 구성할 수 있습니다.

두 번째 요인은 무엇일까요?

다음으로 말 그대로 10분 만에 서버의 원격 데스크톱 연결 및 SSH 보안을 강화하는 방법을 살펴보겠습니다. 하지만 먼저 Duo Security가 두 번째 인증 요소로 도입하는 추가 단계에 대해 이야기하고 싶습니다. 몇 가지 옵션이 있습니다: 전화, 비밀번호가 포함된 SMS, 듀오 모바일 비밀번호, 듀오 푸시, 전자 키. 각각에 대해 조금 더 설명합니다.

언제까지 무료로 사용할 수 있나요?

이미 언급했듯이 Duo Security는 특별한 기능을 제공합니다. 관세 계획"개인의". 완전 무료이지만 사용자 수가 10명을 넘지 않아야 합니다. 무제한의 통합, 사용 가능한 모든 인증 방법 추가를 지원합니다. 전화 서비스에 대한 수천 개의 무료 크레딧을 제공합니다. 크레딧은 전화나 SMS를 통해 인증이 이루어질 때마다 계정에서 인출되는 내부 통화와 같습니다. 계정 설정에서 지정된 크레딧 수에 도달하면 알림을 받고 잔액을 충전할 수 있도록 설정할 수 있습니다. 1,000크레딧의 가격은 30달러에 불과합니다. 통화 및 SMS 가격 다른 나라은 다르다. 러시아의 경우 통화 비용은 5~20크레딧, SMS는 5크레딧입니다. 단, 듀오시큐리티 홈페이지에서 인증 중 발생하는 통화에 대해서는 요금이 부과되지 않습니다. 인증을 위해 Duo Mobile 애플리케이션을 사용하면 크레딧을 완전히 잊을 수 있습니다. 이에 대해 요금이 부과되지 않습니다.

간편한 등록

Duo Security를 ​​사용하여 서버를 보호하려면 Duo Security 인증 서버와 상호 작용하고 두 번째 보호 계층을 제공하는 특수 클라이언트를 다운로드하여 설치해야 합니다. 따라서 이 클라이언트는 2단계 인증을 구현해야 하는 정확한 위치에 따라 각 상황마다 달라집니다. 이에 대해서는 아래에서 이야기하겠습니다. 가장 먼저 해야 할 일은 시스템에 등록하고 계정을 만드는 것입니다. 그러므로 우리는 엽니다 홈페이지웹사이트에서 “무료 평가판”을 클릭하고, 열리는 페이지에서 개인 계정 유형 아래의 “가입” 버튼을 클릭하세요. 그런 다음 이름, 성, 이메일 주소 및 회사 이름을 입력하라는 메시지가 표시됩니다. 등록을 확인하기 위한 링크가 포함된 이메일을 받아야 합니다. 이 경우 시스템은 자동으로 지정된 전화번호로 전화를 겁니다. 계정을 활성화하려면 전화를 받고 전화기에서 # 버튼을 눌러야 합니다. 그 후에는 계정이 활성화되고 전투 테스트를 시작할 수 있습니다.

RDP 보호

위에서는 데스크탑에 대한 원격 연결을 보호하려는 큰 열망으로 시작했다고 말했습니다. 따라서 첫 번째 예로 RDP 보안을 강화하는 방법에 대해 설명하겠습니다.

2단계 인증의 모든 구현은 간단한 작업, 즉 Duo Security 프로필에 통합을 생성하는 것부터 시작됩니다. "통합  새 통합" 섹션으로 이동하여 통합 이름(예: "Home RDP")을 지정하고 해당 유형 "Microsoft RDP"를 선택한 다음 "통합 추가"를 클릭합니다.

나타나는 창에는 통합 키, 비밀 키, API 호스트 이름 등 통합 매개변수가 표시됩니다. 나중에 클라이언트 부분을 구성할 때 필요합니다. 이해하는 것이 중요합니다. 누구도 알면 안됩니다.

다음으로, Windows 시스템에 필요한 모든 것을 설치하는 특수 클라이언트를 보호된 시스템에 설치해야 합니다. 공식 웹사이트에서 다운로드하거나 디스크에서 가져올 수 있습니다. 전체 설정은 설치 프로세스 중에 위에서 언급한 통합 키, 비밀 키, API 호스트 이름을 입력해야 한다는 사실로 요약됩니다.

실제로 그게 전부입니다. 이제 다음에 RDP를 통해 서버에 로그인하면 화면에 사용자 이름, 비밀번호, Duo 일회용 키의 세 가지 필드가 표시됩니다. 따라서 더 이상 로그인 정보와 비밀번호만으로 시스템에 로그인할 수 없습니다.

신규 사용자가 처음 로그인을 시도할 경우 듀오 시큐리티 인증 과정을 한 번 거쳐야 합니다. 이 서비스는 그에게 특별한 링크를 제공할 것이며, 그 후 그는 자신의 전화번호를 입력하고 확인 전화를 기다려야 합니다. 추가 키를 얻으려면(또는 처음으로 얻으려면) "sms"라는 키워드를 입력하면 됩니다. 전화로 인증하려면 “phone”을 입력하고, Duo Push를 사용하려면 “push”를 입력하세요. 서버에 대한 모든 연결 시도(성공 및 실패 모두) 기록은 먼저 원하는 통합을 선택하고 "인증 로그"로 이동하여 Duo Security 웹사이트의 계정에서 볼 수 있습니다.

어디서나 듀오시큐리티를 연결해보세요!

2단계 인증을 사용하면 RDP 또는 SSH뿐만 아니라 VPN, RADIUS 서버 및 모든 웹 서비스도 보호할 수 있습니다. 예를 들어, 널리 사용되는 Drupal 및 WordPress 엔진에 추가 인증 계층을 추가하는 기성 클라이언트가 있습니다. 미리 만들어진 클라이언트가 없더라도 당황하지 마세요. 시스템에서 제공하는 API를 사용하여 언제든지 애플리케이션이나 웹사이트에 대한 2단계 인증을 직접 추가할 수 있습니다. API 작업 논리는 간단합니다. 특정 메서드의 URL에 요청하고 반환된 응답을 구문 분석합니다. 이 응답은 JSON 형식(또는 BSON, XML)으로 제공될 수 있습니다. Duo REST API에 대한 전체 문서는 공식 웹사이트에서 확인할 수 있습니다. 나는 단지 ping, check, preauth, auth, status 메소드가 있다고 말할 것입니다. 이름에서 그 의도가 무엇인지 쉽게 추측할 수 있습니다.

SSH 보호

보안 인증을 구현하기 위한 또 다른 유형의 통합인 "UNIX 통합"을 고려해 보겠습니다. Duo Security 프로필에 또 다른 통합을 추가하고 시스템에 클라이언트 설치를 진행합니다.

후자의 소스 코드는 bit.ly/IcGgk0에서 다운로드하거나 디스크에서 가져올 수 있습니다. 나는 사용했다 최신 버전- 1.8. 그런데 클라이언트는 대부분의 nix 플랫폼에서 작동하므로 FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX 및 AIX에 쉽게 설치할 수 있습니다. 빌드 프로세스는 표준입니다. 구성 && make && sudo make install입니다. 내가 권장할 유일한 방법은 --prefix=/usr 옵션과 함께 구성을 사용하는 것입니다. 그렇지 않으면 클라이언트가 시작할 때 필요한 라이브러리를 찾지 못할 수도 있습니다. 성공적으로 설치한 후 구성 파일 /etc/duo/login_duo.conf를 편집합니다. 이 작업은 루트에서 수행해야 합니다. 성공적인 작업을 위해 이루어져야 하는 모든 변경 사항은 통합 페이지에서 찾을 수 있는 통합 키, 비밀 키, API 호스트 이름 값을 설정하는 것입니다.

; 듀오 통합 키key = INTEGRATION_KEY; 듀오 비밀 키key = SECRET_KEY; Duo API 호스트 이름host = API_HOSTNAME

SSH를 통해 서버에 로그인하는 모든 사용자가 2단계 인증을 사용하도록 하려면 /etc/ssh/sshd_config 파일에 다음 줄을 추가하면 됩니다.

> ForceCommand /usr/local/sbin/login_duo

개별 사용자를 그룹으로 결합하고 login_duo.conf 파일에 이 그룹을 지정하여 개별 사용자에 대해서만 2단계 인증을 구성할 수도 있습니다.

> 그룹 = 휠

변경 사항을 적용하려면 SSH 데몬을 다시 시작하기만 하면 됩니다. 이제부터 로그인 비밀번호를 성공적으로 입력하면 사용자에게 추가 인증을 수행하라는 메시지가 표시됩니다. SSH 구성의 한 가지 미묘한 점을 특별히 언급해야 합니다. 구성 파일에서 PermitTunnel 및 AllowTcpForwarding 옵션을 비활성화하는 것이 좋습니다. 데몬이 인증의 두 번째 단계를 시작하기 전에 옵션을 적용하기 때문입니다. 따라서 공격자가 비밀번호를 정확하게 입력하면 포트포워딩 기능을 통해 2단계 인증이 완료되기 전에 내부망에 접근할 수 있다. 이 효과를 방지하려면 sshd_config에 다음 옵션을 추가하십시오.

PermitTunnel noAllowTcp전달 no

이제 귀하의 서버는 이중벽 뒤에 있으며 공격자가 침입하기가 훨씬 더 어렵습니다.

추가 세팅

Duo Security 계정에 로그인하고 "설정" 섹션으로 이동하면 일부 설정을 자신에게 맞게 조정할 수 있습니다. 첫 번째 중요한 섹션은 "전화 통화"입니다. 인증 확인을 위해 전화 통화를 사용할 때 적용되는 매개변수를 지정합니다. "음성 콜백 키" 항목을 사용하면 인증을 확인하기 위해 눌러야 하는 전화 키를 지정할 수 있습니다. 기본적으로 값은 "인증하려면 아무 키나 누르십시오"입니다. 즉, 아무 키나 누를 수 있습니다. "사기를 인증하거나 신고하려면 다른 키를 누르세요" 값을 설정한 경우 두 개의 키를 설정해야 합니다. 첫 번째 인증 확인(인증용 키)을 클릭하고 두 번째(사기 신고용 키)를 클릭하면 인증 프로세스를 시작하지 않았습니다. 즉, 누군가가 우리의 비밀번호를 받았고 이를 사용하여 서버에 로그인을 시도하고 있습니다. "SMS 비밀번호" 항목을 사용하면 하나의 SMS에 포함될 비밀번호 수와 수명(유효성)을 설정할 수 있습니다. "잠금 및 사기" 매개변수를 사용하면 서버 로그인 시도가 일정 횟수 실패할 경우 알림을 보낼 이메일 주소를 설정할 수 있습니다.

그걸 써!

놀랍게도 아직도 많은 사람들이 이중 인증을 무시하고 있습니다. 이유를 이해하지 못합니다. 이는 보안을 크게 향상시킵니다. 거의 모든 것에 대해 구현할 수 있으며 괜찮은 솔루션을 무료로 사용할 수 있습니다. 왜? 게으름이나 부주의로 인해.

아날로그 서비스

• Signify(www.signify.net) 이 서비스는 2단계 인증 구성을 위한 세 가지 옵션을 제공합니다. 첫 번째는 전자 키를 사용하는 것입니다. 두 번째 방법은 SMS를 통해 사용자의 휴대폰으로 전송되거나 다음으로 전송되는 비밀번호 키를 사용하는 것입니다. 이메일. 세 번째 옵션 - 모바일 앱을 위한 안드로이드 폰, iPhone, BlackBerry, 일회용 비밀번호를 생성합니다(본질적으로 Duo Mobile과 유사함). 이 서비스는 다음을 목표로 합니다. 대기업, 따라서 전액 지불되었습니다.
• SecurEnvoy(www.securenvoy.com) 또한 휴대폰을 두 번째 보안 계층으로 사용할 수 있습니다. 암호키는 SMS 또는 이메일을 통해 사용자에게 전송됩니다. 각 메시지에는 세 개의 암호 키가 포함되어 있습니다. 즉, 사용자는 새 부분을 요청하기 전에 세 번 로그인할 수 있습니다. 이 서비스도 유료이지만 30일 무료 기간을 제공합니다. 중요한 이점은 기본 및 타사 통합이 많다는 것입니다.
• PhoneFactor(www.phonefactor.com) 이 서비스를 사용하면 최대 25명의 사용자에 대해 무료 2단계 인증을 구성할 수 있으며 매월 500건의 무료 인증을 제공합니다. 보호를 구성하려면 특수 클라이언트를 다운로드하여 설치해야 합니다. 사이트에 2단계 인증을 추가해야 하는 경우 ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP 프로그래밍 언어에 대한 자세한 문서와 예제를 제공하는 공식 SDK를 사용할 수 있습니다.

Windows OS의 서버 버전에는 사용자가 이전에 컴퓨터에 로그인할 때 입력한 자격 증명을 연결에 사용할 수 있는 좋은 기회가 있습니다. 이렇게 하면 게시된 애플리케이션을 실행하거나 원격 데스크톱을 실행할 때마다 사용자 이름과 비밀번호를 입력할 필요가 없습니다. 이것을 기술을 이용한 Single Sign On이라고 합니다. CredSSP(자격증명 보안 서비스 제공자).

설명

이것이 작동하려면 다음 조건이 충족되어야 합니다.

• 터미널 서버와 이에 연결하는 클라이언트는 도메인에 있어야 합니다.
• 터미널 서버는 OS에서 구성되어야 합니다. 윈도우 서버 2008, Windows Server 2008 R2 이상.
• 클라이언트 컴퓨터에는 Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 또는 Windows Server 2008 R2 OS가 설치되어 있어야 합니다.

Windows XP SP3의 경우 추가 단계가 필요합니다. 그룹 정책을 통해 Windows XP SP3에 대한 설정을 구성할 수 있는 수정 프로그램을 설치해야 합니다.
이 수정 사항(MicrosoftFixit50588.msi)은 당사 웹 사이트에서 다운로드할 수 있습니다.

먼저 터미널 서버의 보안 수준을 "협상" 모드로 설정합니다.

여기에는 기본 자격 증명 전송 허용 및 "NTLM 전용" 서버 인증을 통한 기본 자격 증명 위임 허용이라는 2개의 매개 변수를 구성합니다.

NTLM 전용 서버 인증을 통한 기본 자격 증명 위임 허용 - 터미널 서버가 Kerberos 또는 SSL 인증서를 사용하여 인증되지 않은 경우에만 구성해야 합니다.

로그인 및 비밀번호를 다시 입력하지 않고 사용자를 허용하려는 서버를 입력합니다. 마스크로 입력하거나 개별적으로 입력할 수 있습니다. 도움말에 자세히 나와 있습니다.

그런 다음 원하는 컴퓨터에 정책을 적용하고 사용자가 로그인 및 비밀번호를 입력하지 않고도 위 정책에 지정된 터미널 서버에 액세스할 수 있는지 확인합니다.

알렉산더 안티포프

이 기사에서는 Single Sign-On 투명 인증 기술과 보안 서비스 제공업체 Credential Security Service Provider(CredSSP)의 운영 알고리즘에 대한 개요를 제공합니다. 클라이언트와 서버 부분을 설정하는 방법이 고려됩니다.

원격 데스크톱이나 터미널 서버에 게시된 애플리케이션을 시작할 때 사용자가 겪는 가장 불편한 점 중 하나는 자격 증명을 입력해야 한다는 것입니다. 이전에는 이 문제를 해결하기 위해 원격 데스크톱 클라이언트 설정에 자격 증명을 저장하는 메커니즘이 사용되었습니다. 하지만 이 방법몇 가지 중요한 단점이 있습니다. 예를 들어, 비밀번호를 주기적으로 변경할 경우에는 터미널 클라이언트 설정에서 수동으로 변경해야 했습니다.

이에 Windows Server 2008에서는 원격 데스크톱 작업을 단순화하기 위해 SSO(Single Sign-On) 투명 인증 기술을 사용할 수 있게 되었습니다. 덕분에 사용자는 터미널 서버에 로그인할 때 원격 데스크톱 클라이언트가 실행되는 로컬 컴퓨터에 로그인할 때 입력한 자격 증명을 사용할 수 있습니다.

이 기사에서는 Single Sign-On 투명 인증 기술과 보안 서비스 제공업체 Credential Security Service Provider(CredSSP)의 운영 알고리즘에 대한 개요를 제공합니다. 클라이언트와 서버 부분을 설정하는 방법이 고려됩니다. 원격 데스크톱 서비스에 대한 투명한 인증과 관련된 다양한 실제 문제도 다룹니다.

이론적인 정보

SSO 기술을 사용하면 사용자 자격 증명을 저장하고 터미널 서버에 연결할 때 자동으로 전송할 수 있습니다. 그룹 정책을 사용하면 이 인증 방법을 사용할 서버를 정의할 수 있습니다. 이 경우 다른 모든 터미널 서버의 경우 로그인과 비밀번호를 입력하는 기존 방식으로 로그인이 수행됩니다.

투명한 인증 메커니즘은 Windows Server 2008 및 Windows Vista에서 처음 등장했습니다. 새로운 보안 제공업체 CredSSP 덕분입니다. 이는 캐시된 자격 증명이 보안 채널(TLS(전송 계층 보안) 사용)을 통해 전송되도록 허용했습니다. 이후 Microsoft는 Windows XP SP3에 대한 해당 업데이트를 출시했습니다.

이에 대해 좀 더 자세히 살펴보겠습니다. CredSSP는 다음 시나리오에서 사용할 수 있습니다.

• 을 위한 네트워크 계층인증(NLA)을 통해 사용자를 사전에 인식할 수 있습니다. 완전한 설치사이;
• SSO의 경우 사용자 자격 증명을 저장하고 이를 터미널에 전달합니다.

팜 내에서 세션을 복원할 때 CredSSP는 연결 설정 프로세스 속도를 높입니다. 터미널 서버는 전체 연결을 설정하지 않고 사용자를 결정합니다(NLA와 유사).

인증 프로세스는 다음 알고리즘을 따릅니다.

클라이언트는 TLS를 사용하여 서버와의 보안 채널 설정을 시작합니다. 서버는 이름, 인증 기관 및 공개 키가 포함된 인증서를 서버에 제공합니다. 서버 인증서는 자체 서명될 수 있습니다.

서버와 클라이언트 사이에 세션이 설정됩니다. 해당 키가 생성되어 이후에 암호화에 참여하게 됩니다. CredSSP는 SPNEGO(Simple and Protected Negotiate) 프로토콜을 사용하여 서버와 클라이언트를 상호 인증하므로 서로 신뢰할 수 있습니다. 이 메커니즘을 통해 클라이언트와 서버는 인증 메커니즘(예: Kerberos 또는 NTLM)을 선택할 수 있습니다.

가로채기를 방지하기 위해 클라이언트와 서버는 세션 키를 사용하여 서버 인증서를 교대로 암호화하여 서로 전송합니다.

교환 결과와 원본 인증서가 일치하면 클라이언트의 CredSSP는 사용자의 자격 증명을 서버로 보냅니다.

따라서 자격 증명 전송은 가로채기 방지 기능이 있는 암호화된 채널을 통해 발생합니다.

설정

보안 서비스 제공업체인 CredSSP는 운영 체제의 일부이며 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2에 포함되어 있습니다. 또한 Windows XP SP3에서는 별도의 업데이트로 설치할 수 있습니다. 이 프로세스는 "Windows XP 서비스 팩 3의 CredSSP(Credential Security Support Provider)에 대한 설명" 문서에 자세히 설명되어 있습니다." Windows XP SP3에서 CredSSP를 설치하고 활성화하려면 다음 단계를 수행해야 합니다.

1. 레지스트리 편집기 regedit를 실행하고 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa 분기로 이동합니다.

2. Security Packages 키에 tspkg 값을 추가합니다.

3. 레지스트리 분기: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders로 이동합니다.

4. Credssp.dll 값을 SecurityProviders 키에 추가합니다(이 키의 나머지 값은 변경되지 않은 상태로 유지되어야 합니다).

CredSSP를 활성화한 후에는 그룹 정책이나 해당 레지스트리 키를 사용하여 사용을 구성해야 합니다. 클라이언트 컴퓨터에서 SSO를 구성하려면 다음 섹션의 그룹 정책을 사용하십시오.

컴퓨터 구성\관리 템플릿\시스템\자격 증명 위임.

러시아어 버전의 운영 체제에서는 다음과 같습니다(그림 1).

쌀. 1. 그룹 정책을 사용하여 자격 증명 전송 관리

SSO를 사용하려면 정책을 활성화해야 합니다.

기본 자격 증명이 전달되도록 허용합니다.

또한 활성화한 후에는 이 인증 방법을 사용할 서버를 결정해야 합니다. 이렇게 하려면 다음 단계를 수행해야 합니다.

정책 편집 창(그림 2)에서 “표시” 버튼을 클릭합니다.

쌀. 2. 그룹 정책 편집 창

터미널 서버 목록을 추가합니다(그림 3).

쌀. 3. 투명한 인증을 위한 터미널 서버 추가

서버 추가 라인의 형식은 다음과 같습니다.

TERMSRV/서버_이름 .

도메인 마스크로 서버를 지정할 수도 있습니다. 이 경우 라인은 다음과 같은 형식을 취합니다.

TERMSRV/*.도메인_이름 .

그룹 정책을 사용할 수 없는 경우 레지스트리 편집기를 사용하여 적절한 설정을 지정할 수 있습니다. 예를 들어, 윈도우 설정 XP Sp3에서는 다음 레지스트리 파일을 사용할 수 있습니다.

Windows 레지스트리 편집기 버전 5.00

"보안 패키지"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, 다이제스트.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.mydomain.com"

여기서는 mydomain.com 대신 도메인 이름으로 대체해야 합니다. 이 경우 터미널 서버에 접속할 때, 도메인 이름(예: termsserver1.mydomain.com) 투명한 인증이 사용됩니다.

터미널 서버에서 Single Sign-On 기술을 사용하려면 다음 단계를 수행해야 합니다.

터미널 서비스 구성 콘솔(tsconfig.msc)을 엽니다.

연결 섹션에서 RDP-Tcp 속성으로 이동합니다.

"일반" 탭에서 보안 수준을 "협상" 또는 "SSL(TLS 1.0)"으로 설정합니다(그림 4).

쌀. 4. 터미널 서버의 보안 수준 설정

이 시점에서 클라이언트 및 서버 부분의 설정이 완료된 것으로 간주할 수 있습니다.

실용적인 정보

이번 장에서는 투명한 인증기술의 사용에 대한 제한사항과 이를 사용할 때 발생할 수 있는 문제점에 대해 살펴보겠습니다.

• Single Sign-On 기술은 Windows XP SP3 및 이전 버전 이외의 운영 체제를 실행하는 컴퓨터에서 연결할 때만 작동합니다. 컴퓨터 운영 체제윈도우 비스타, 윈도우 서버 2008, 윈도우 7 및 윈도우 서버 2008 R2.
• 연결 중인 터미널 서버가 Kerberos 또는 SSL 인증서를 통해 인증될 수 없는 경우 SSO가 작동하지 않습니다. 이 제한은 다음 정책을 사용하여 우회할 수 있습니다.
  기본 "NTLM 전용" 서버 인증으로 설정된 자격 증명 위임을 허용합니다.
• 이 그룹 정책을 활성화하고 구성하는 알고리즘은 위에 제시된 것과 유사합니다. 이 설정에 해당하는 레지스트리 파일은 다음과 같습니다.

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.mydomain.com"

이 방법을 사용한 인증은 인증서나 Kerberos를 사용하는 것보다 보안 수준이 낮습니다.

• 서버에 대한 자격 증명이 터미널 클라이언트 설정에 저장되어 있으면 현재 자격 증명보다 우선 순위가 높습니다.
• Single Sign-On은 도메인 계정을 사용할 때만 작동합니다.
• 터미널 서버에 대한 연결이 TS 게이트웨이를 통해 이루어지는 경우 경우에 따라 TS 게이트웨이 서버 설정이 터미널 클라이언트의 SSO 설정보다 우선할 수 있습니다.
• 매번 사용자 자격 증명을 묻는 메시지를 표시하도록 터미널 서버를 구성한 경우 SSO가 작동하지 않습니다.
• 투명한 인증 기술은 비밀번호로만 작동합니다. 스마트 카드를 사용하면 작동하지 않습니다.

Windows XP SP에서 SSO가 올바르게 작동하려면 KB953760의 두 가지 수정 사항을 설치하는 것이 좋습니다. "Windows XP SP3 기반 클라이언트 컴퓨터에서 터미널 서버에 대해 SSO를 활성화하면 로그온할 때 사용자 자격 증명을 묻는 메시지가 계속 표시됩니다. 터미널 서버로 ».

어떤 경우에는 연결하는 사용자의 프로필에 따라 투명한 인증 기술이 동일한 터미널 클라이언트에서 작동할 수도 있고 작동하지 않을 수도 있습니다. 사용자 프로필을 다시 생성하면 문제가 해결됩니다. 이 작업에 시간이 너무 많이 걸리는 경우 다음 토론의 팁을 사용해 볼 수 있습니다. "Windows 7 클라이언트의 RemoteApp SSO(Single Sign On)» Microsoft Technet 포럼. 특히, 설정을 재설정하는 것이 좋습니다 인터넷 익스플로러또는 적절한 추가 기능을 승인하세요.

SSO 기술의 또 다른 주요 제한 사항은 TS 웹 액세스를 통해 게시된 애플리케이션을 실행할 때 작동하지 않는다는 것입니다. 이 경우 사용자는 웹 인터페이스에 로그인할 때와 터미널 서버에서 인증할 때 자격 증명을 두 번 입력해야 합니다.

Windows Server 2008 R2에서는 상황이 더 좋아졌습니다. 더 자세한 정보이에 대한 내용은 "RemoteApp 및 데스크톱 연결을 위한 웹 Single Sign-On 소개" 문서에서 확인할 수 있습니다. ».

결론

이 기사에서는 Single Sign-On 터미널 서버의 투명한 인증 기술에 대해 설명합니다. 이를 사용하면 사용자가 터미널 서버에 로그인하고 원격 응용 프로그램을 시작하는 데 소요되는 시간을 줄일 수 있습니다. 또한 도움을 받으면 로컬 컴퓨터에 로그인할 때 자격 증명을 한 번 입력한 다음 연결할 때 사용하면 충분합니다. 터미널 서버도메인. 자격 증명을 전송하는 메커니즘은 매우 안전하며 서버 및 클라이언트 부분 설정은 매우 간단합니다.