Çift zırhın arkasında. Kişisel sertifika kullanarak RDP Rdp girişi aracılığıyla uzaktan erişim nasıl kurulur

Elbette çoğunuz bu kısaltmayı zaten duymuş ve görmüşsünüzdür; kelimenin tam anlamıyla Uzak Masaüstü Protokolü olarak tercüme edilir. Bu uygulama düzeyindeki protokolün işleyişinin teknik incelikleriyle ilgilenen biri varsa, aynı Wikipedia'dan başlayarak literatürü okuyabilir. Tamamen pratik yönleri ele alacağız. Yani bu protokolün aşağıdaki bilgisayarlara uzaktan bağlanmanıza olanak sağlaması Windows kontrolü yerleşik kullanarak farklı sürümler Windows aracı"Uzak masaüstüne bağlanılıyor."

RDP protokolünü kullanmanın artıları ve eksileri nelerdir?

Hoş olanla başlayalım - profesyonellerle. Avantajı, daha doğru bir şekilde RDP İstemcisi olarak adlandırılan bu aracın, hem uzaktan kontrolün yönetileceği bilgisayardaki hem de bilgisayarına uzaktan erişim açmak isteyenler için herhangi bir Windows kullanıcısı tarafından kullanılabilir olmasıdır.

Uzak masaüstü bağlantısı aracılığıyla yalnızca uzak masaüstünü görmek ve uzak bilgisayarın kaynaklarını kullanmak değil, aynı zamanda ona bağlanmak da mümkündür. yerel diskler, yazıcılar, akıllı kartlar vb. Elbette RDP üzerinden video izlemek veya müzik dinlemek istiyorsanız bu sürecin size keyif vermesi pek mümkün değil çünkü... çoğu durumda bir slayt gösterisi göreceksiniz ve ses muhtemelen kesilecektir. Ancak RDP hizmeti bu görevler için geliştirilmemiştir.

Kuşkusuz bir diğer avantaj ise, bilgisayarla bağlantının, avantajları olmasına rağmen çoğunlukla ücretli olan herhangi bir ek program olmadan gerçekleştirilmesidir. RDP sunucusuna (uzaktaki bilgisayarınızdır) erişim süresi yalnızca sizin isteğinizle sınırlıdır.

Sadece iki eksi var. Biri önemli, diğeri o kadar da değil. Bunlardan ilki ve en önemlisi, RDP ile çalışabilmek için bağlantı yapılan bilgisayarın beyaz (harici) IP'ye sahip olması veya yönlendiriciden bu bilgisayara bir bağlantı noktasını "iletmenin" mümkün olması gerekir, yine harici bir IP'ye sahip olması gerekir. Statik ya da dinamik olması önemli değil ama öyle olması gerekiyor.

İkinci dezavantaj o kadar önemli değil - istemcinin en son sürümleri artık 16 renkli renk şemasını desteklemiyor. Minimum - 15bit. Bu, saniyede 64 kilobit'i aşmayan bir hızla bodur, ölü bir İnternet üzerinden bağlandığınızda RDP'yi büyük ölçüde yavaşlatır.

RDP aracılığıyla uzaktan erişimi ne için kullanabilirsiniz?

Kuruluşlar genellikle RDP sunucularını şunları yapmak için kullanır: işbirliği 1C programında. Hatta bazıları üzerlerinde kullanıcı iş istasyonları bile kuruyor. Böylece kullanıcı, özellikle seyahat halinde bir işi varsa, 3G internet veya otel/cafe Wi-Fi'si varsa iş yerine uzaktan bağlanarak tüm sorunları çözebilir.

Bazı durumlarda ev kullanıcıları kendi cihazlarına uzaktan erişimi kullanabilirler. ev bilgisayarı ev kaynaklarından bazı veriler almak için. Prensip olarak, uzak masaüstü hizmeti metin, mühendislik ve grafik uygulamaları. Yukarıda belirtilen nedenlerden dolayı video ve ses işlemede çalışmayacaktır ancak yine de çok önemli bir artıdır. Ayrıca, herhangi bir anonimleştirici, VPN veya diğer kötü ruhlar olmadan ev bilgisayarınıza bağlanarak şirket politikası nedeniyle iş yerinde kapatılan kaynakları da görüntüleyebilirsiniz.

İnterneti hazırlamak

Bir önceki bölümde RDP üzerinden uzaktan erişim sağlamak için harici bir IP adresine ihtiyacımız olduğundan bahsetmiştik. Bu hizmet sağlayıcı tarafından sağlanabilir, bu nedenle ararız, yazarız veya adresine gideriz. Kişisel Alan ve bu adresin sağlanmasını düzenleyin. İdeal olarak statik olmalıdır, ancak prensipte dinamik olanlarla yaşayabilirsiniz.

Birisi terminolojiyi anlamıyorsa, statik adres sabittir ve dinamik adres zaman zaman değişir. Dinamik IP adresleriyle tam olarak çalışabilmek için dinamik etki alanı bağlamayı sağlayan çeşitli hizmetler icat edilmiştir. Ne ve nasıl, yakında bu konuyla ilgili bir yazı gelecek.

Yönlendiriciyi hazırlama

Bilgisayarınız doğrudan İnternet'e ISP kablosuyla değil, bir yönlendirici aracılığıyla bağlıysa, bu cihazla da bazı manipülasyonlar yapmamız gerekecek. Yani servis portunu iletin - 3389. Aksi takdirde yönlendiricinizin NAT'ı içeri girmenize izin vermez. ev ağı. Aynı durum bir kuruluşta RDP sunucusu kurmak için de geçerlidir. Bir bağlantı noktasını nasıl ileteceğinizi bilmiyorsanız, bir yönlendiricideki bağlantı noktaları nasıl iletilir (yeni bir sekmede açılır) hakkındaki makaleyi okuyun ve ardından buraya geri dönün.

Bilgisayarı hazırlamak

Bir bilgisayara uzaktan bağlanma yeteneği oluşturmak için tam olarak iki şey yapmanız gerekir:

Sistem Özellikleri'nde bağlantıya izin verin;
- mevcut kullanıcı için bir şifre belirleyin (şifresi yoksa) veya özellikle RDP aracılığıyla bağlanmak için şifreli yeni bir kullanıcı oluşturun.

Kullanıcıyla ne yapacağınıza kendiniz karar verin. Ancak, sunucu dışı işletim sistemlerinin yerel olarak birden fazla oturum açmayı desteklemediğini unutmayın. Onlar. Yerel olarak (konsolda) kendiniz olarak oturum açarsanız ve ardından aynı kullanıcıyla uzaktan oturum açarsanız, yerel ekran kilitlenecek ve aynı yerdeki oturum Uzak Masaüstü Bağlantısı penceresinde açılacaktır. RDP'den çıkmadan şifreyi yerel olarak girerseniz, uzaktan erişimden atılırsınız ve yerel monitörünüzde geçerli ekranı görürsünüz. Konsola bir kullanıcı olarak giriş yapıp, başka bir kullanıcı olarak uzaktan giriş yapmayı denediğinizde de aynı şey sizi bekliyor. Bu durumda sistem sizden yerel kullanıcı oturumunu sonlandırmanızı isteyecektir ve bu her zaman uygun olmayabilir.

Bu nedenle Başlat'a gidin, Bilgisayar menüsüne sağ tıklayın ve Özellikler'e tıklayın.

Sistem özelliklerinde şunu seçin Ekstra seçenekler sistemler

Açılan pencerede Uzaktan Erişim sekmesine gidin...

...Diğer'i tıklayın...

Ve bu sayfadaki tek kutuyu işaretleyin.

Bu "ev yapımı" Windows sürümü 7 - Pro ve üzeri olanlarda daha fazla onay kutusu olacak ve erişimi farklılaştırmak mümkün olacak.

Her yerde Tamam'ı tıklayın.

Artık Uzak Masaüstü Bağlantısı'na (Başlat>Tüm Programlar>Donatılar) gidebilir, ev ağınızdan bağlanmak istiyorsanız bilgisayarın IP adresini veya adını buraya girebilir ve tüm kaynakları kullanabilirsiniz.

Bunun gibi. Prensip olarak her şey basittir. Aniden herhangi bir sorunuz olursa veya bir şey belirsiz kalırsa, yorumlara hoş geldiniz.

Kısaca: terminal sunucusuna erişim için iki faktörlü kimlik doğrulamayı yapılandırmanıza olanak tanır. MS Uzak Masaüstü Bağlantısı veya Uzak Masaüstü Web Bağlantısı yardımcı programını kullanarak, bir USB Anahtarı (belirteç) kullanarak Uzak Masaüstüne kolayca bağlanabilirsiniz.

Rohos Oturum Açma Anahtarı Uzak Masaüstü ile nasıl çalışır?

Rohos Oturum Açma Anahtarı, Windows Terminal Hizmetleri yetkilendirme sürecine entegre olur ve mevcut sistem erişim kontrolü altyapısına iki faktörlü bir kimlik doğrulama katmanı ekler. Rohos Oturum Açma Anahtarını ayarladıktan sonra kullanıcılar, yalnızca bir USB Anahtarı kullanarak veya bir USB Anahtarı ve şifre kullanarak Uzak Masaüstü'nde oturum açabilecektir.

Terminal Sunucu korumasının avantajları.

• Bu yöntem, belirli kullanıcılar veya bir kullanıcı listesi için uzaktan erişimi kısıtlamanıza olanak tanır.
• Bu tür kullanıcıların her seferinde bir USB anahtarı takmaları veya bir OTP kodu girmeleri gerekir.
• Her anahtar benzersizdir ve taklit edilemez
• Kurulum sırasında USB anahtarını doğrudan sunucuya bağlamanıza gerek yoktur.
• Programı erişim sağladığınız her bilgisayara yüklemenize gerek yoktur*.
• Yöneticinin erişim için önceden yapılandırması ve kullanıcıya bir USB Anahtarı vermesi yeterlidir.

Elektronik USB Anahtarı veya Tek Kullanımlık Parolalar aracılığıyla artırılmış güvenlik:

• SafeNet, eToken, iKey, ePass ve PKCS#11 desteğine sahip diğerleri gibi Windows+ USB anahtar parolası.
• Windows şifresi + Flash bellek taşıyıcı.
• Windows şifresi + SMS yoluyla gönderilen OTP kodu cep telefonu kullanıcı.
• Pencere şifresi + OTP kodu ile Google programları Kullanıcının akıllı telefonuna yüklenen kimlik doğrulayıcı.
• Yalnızca USB anahtarındaki şifrelenmiş parola.
• elektronik USB anahtarı + anahtar PIN kodu;
• Elektronik USB Anahtarı + Anahtar PIN'i + Windows Şifresi;

Rohos Oturum Açma anahtarını ayarlamaya başlamadan önce aşağıdakilere karar vermeniz gerekir:

• yetkilendirme için ne tür USB Anahtarının kullanılacağı;
• ne tür kimlik doğrulamayı kullanmak istiyorsunuz:
  1) iki faktör = USB Anahtarı + Windows Şifresi,
  2) tek faktörlü = USB Anahtarı (bu aynı zamanda varsa USB Anahtarı + PIN anahtarı seçeneğini de içerir),
  3) USB Anahtarını yalnızca yerel bilgisayarda kullanın. Bu durumda Terminal Sunucusu, istemcinin bir USB Anahtarının olup olmadığını kontrol etmeyecektir.

Terminal sunucusu için kimlik doğrulama yöntemi	USB Anahtar Türü	Rohos Oturum Açma Anahtarı yazılımını istemci ve terminal sunucusuna yükleme
		Windows Vista/7/8 istemcisi	TS Sunucusu Windows Sunucusu 2008/2012
1) İki faktörlü kimlik doğrulama (USB Anahtarı ve Windows şifresi).	USB belirteçleri (PKCS#11) Akıllı kartlar Google Kimlik Doğrulayıcı Yubikey USB flash sürücü*
2) Tek faktörlü kimlik doğrulama (yalnızca USB Anahtarı)	USB flash sürücü USB belirteçleri (PKCS#11) Akıllı kartlar++3)
3) USB Anahtarı kolaylık sağlamak için kullanılır. Terminal sunucusu bir USB Anahtarının varlığını kontrol etmez.	Her türlü USB Anahtarı

* Erişim anahtarı olarak bir USB flash sürücü kullanıyorsanız, istemcinin bilgisayarına iki programdan birini yüklemeniz gerekir: program veya . Sunucuda anahtar oluşturma işlemi sırasında USB sürücüye kopyalanacak ve USB sürücünün Uzak Masaüstüne bağlanmak için anahtar olarak kullanılması sağlanacaktır. Bu taşınabilir bileşen, sunucuya uzaktan bağlanmak için kullanılan diğer iş istasyonlarında çalıştırılabilir.

USB Anahtarının türüne ve iki faktörlü kimlik doğrulama yöntemine karar verdikten sonra Rohos Oturum Açma Anahtarını yüklemeye başlayabilirsiniz.

Rohos Oturum Açma Anahtarı programıyla Uzak masaüstü aracılığıyla kimlik doğrulamaya uygun USB anahtarı türleri ve teknolojileri:

Akıllı kartlar, Java Kartları (Mifare 1K)

PKCS11 tabanlı tokenlar. Örneğin SafeNet eToken, Securetoken ST3/4, senseLock trueToken, RuToken, uaToken, iKey.

Google Authenticator gibi Yubikey ve OTP belirteçleri

USB Flaş sürücüler. Bu durumda anahtarı oluşturduktan sonra programın taşınabilir bileşeni USB sürücüsüne kopyalanacaktır.

Rohos Oturum Açma Anahtarı programını kullanarak bağlantı hazırlamanın aşamaları:

1. Rohos Oturum Açma Anahtarı programını terminal sunucusuna yükleyin. Program ayarlarında USB anahtarının türünü belirtin.

2. Anahtar oluşturmak için uzak masaüstüne erişeceğiniz bilgisayara Rohos Yönetim Araçları paketini yükleyin.

3. RDC aracılığıyla erişim için anahtarlar oluşturma:

Gelecekteki USB anahtarınızı yerel bilgisayarınıza bağlayın. RDC aracılığıyla terminal sunucusuna bağlanın. Uzak Masaüstü program ayarlarında hangi yerel kaynakların ( USB sürücüler veya akıllı kartlar) uzaktaki bilgisayara sağlanmalıdır.

Rohos Oturum Açma Anahtarı programını terminal sunucusunda çalıştırın. Anahtar ayarla komutunu kullanın, kendisi için anahtar oluşturduğunuz kullanıcıyı belirtin ve gerekiyorsa parolasını girin.

Not: Bazıları USB türleri Anahtarlar, Rohos Yönetim araçları paketindeki USB anahtar yöneticisi programında oluşturulabilir. Bu paket yöneticinin bilgisayarına kurulur. Bu programda tüm anahtarları oluşturduktan sonra listelerini terminal sunucusuna aktarmanız gerekir. . Aynı programda kopyalayan bir düğme vardır. USB sürücüsü programlar.

4. Terminal Sunucusunda Rohos Oturum Açma Anahtarını Ayarlama:

Tüm anahtarları oluşturduktan sonra, belirli kullanıcıların sunucuya USB anahtarı olmadan erişmesini yasaklayarak sunucunun güvenliğini güçlendirebilirsiniz. Rohos Oturum Açma Anahtarı program ayarlarını açın, Yalnızca USB Anahtarı listesini kullanarak erişime izin verin.

Seçenekler:

• Hiçbiri
  Tüm kullanıcılar şifre kullanarak giriş yapabilir veya USB kullanarak anahtar Bu yapılandırma bir terminal sunucusu için önerilmez.
• Herhangi bir kullanıcı için
  Bu seçenek eski Yalnızca USB Anahtarıyla oturum açmaya izin ver seçeneğine benzer. Windows'ta oturum açmak veya Windows'un kilidini açmak için tüm kullanıcıların bir USB anahtarı kullanması gerekir.
• Listelenen kullanıcılar için
  Yalnızca listedeki kullanıcıların oturum açmak için bir USB anahtarı kullanması gerekir. Diğer tüm kullanıcılar şifre kullanarak giriş yapabilirler. Bir kullanıcı için bir USB anahtarı oluşturulduğunda liste otomatik olarak oluşturulur. USB anahtarındaki kullanıcı adı bu listeye eklenir. Ayrıca kullanıcı listesi ve anahtarlar başka bir bilgisayardan içe aktarılabilir. Elbette bunu yalnızca bir yönetici yapabilir.
• Active Directory'deki 'rohos' kullanıcı grubu için
  Rohos grubundaki her kullanıcının bir USB anahtarı kullanması gerekir.
  Dikkat: rohos kullanıcı grubu bir Active Directory yöneticisi tarafından oluşturulmalıdır.
• Uzak masaüstü oturumu açmak için
  Yerel kullanıcılar USB anahtarıyla veya USB anahtarı olmadan oturum açabilir. Uzaktan oturum açma yalnızca bir USB anahtarıyla mümkündür. Bu seçenek, terminal sunucusunun güvenliğini güçlendirmek için idealdir.
• LAN dışında Uzak masaüstü oturumu açmak için
  Kullanıcılar yerel ağ anahtar olmadan terminal sunucusuna giriş yapabilirsiniz. Yalnızca çevirmeli bağlantı, DSL bağlantıları veya diğer ağlardan oturum açan kullanıcıların USB anahtarlarını kullanması gerekir.

Uzak Masaüstü Bağlantısı

Bağlandığımızda bu ağ tanımlama iletişim kutusunu göreceğiz.

Bir kullanıcı adı seçip şifre girmelisiniz hesap TS'de.

Parola kimlik doğrulaması başarılı olursa Uzak Masaüstü ile bağlantı kurulur. Bu aşamada Rohos Oturum Açma Anahtarı kullanıcının USB Anahtarının varlığını kontrol eder.

Rohos Oturum Açma Anahtarı, USB Anahtarı bağlı değilse erişimi durdurabilir:

Tek kullanımlık şifreye sahip bir belirteç kullanılıyorsa, bunu girmek için bir pencere görünecektir.

Taşınabilir Rohos Oturum Açma Anahtarı

Bir USB flash sürücü kullanıyorsanız ancak onu yüklemek istemiyorsanız veya kuramıyorsanız program size yardımcı olacaktır. yerel bilgisayar ne Rohos Oturum Açma Anahtarı ne de Rohos Yönetim araçları. Bu bileşen, terminal sunucusunda anahtar oluşturma sırasında otomatik olarak USB flash sürücüye kopyalanır. Alternatif olarak çalıştırılarak da elde edilebilir. USB programı Key Manager Pro lisansı - Uzak masaüstü aracılığıyla bir ağ bilgisayarına (terminal sunucusu değil) erişim ve ayrıca bir etki alanında kullanım için.

Sunucu lisansı - Terminal Sunucusu için özel olarak tasarlanmıştır (Uzak Masaüstü aracılığıyla erişime sahip Windows 2003, 2008,2012)

Rohos Oturum Açma Anahtarını 15 gün boyunca ücretsiz deneyin. Rohos Oturum Açma Anahtarı.

Bu sürenin sonunda program da çalışacak ancak kayıt olmanızı hatırlatacaktır.

Verilerinize erişmenin önündeki tek engel şifre ise büyük risk altındasınız demektir. Geçiş, bir Truva atı tarafından hacklenebilir, ele geçirilebilir, çalınabilir veya sosyal mühendislik kullanılarak ele geçirilebilir. Bu durumda iki faktörlü kimlik doğrulamayı kullanmamak neredeyse suçtur.

Tek kullanımlık anahtarlardan zaten bir kereden fazla bahsetmiştik. Anlamı çok basittir. Saldırgan bir şekilde oturum açma parolanızı ele geçirmeyi başarırsa, e-postanıza kolaylıkla erişebilir veya uzak sunucu. Ancak önünde ek bir faktör varsa, örneğin tek kullanımlık bir anahtar (OTP anahtarı da denir), o zaman hiçbir şey işe yaramayacaktır. Böyle bir anahtar bir saldırganın eline geçse bile, yalnızca bir kez geçerli olduğundan artık onu kullanmak mümkün olmayacaktır. Bu ikinci faktör, ek bir çağrı, SMS yoluyla alınan bir kod, telefonda o andaki zamana bağlı olarak belirli algoritmalar kullanılarak oluşturulan bir anahtar olabilir (zaman, istemci ve sunucudaki algoritmayı senkronize etmenin bir yoludur). Aynısı Google zaten uzun süredir kullanıcılarına iki faktörlü kimlik doğrulamayı (hesap ayarlarında birkaç tıklama) etkinleştirmelerini tavsiye ediyor. Artık hizmetleriniz için böyle bir koruma katmanı ekleme sırası geldi!

Duo Security neler sunuyor?

Önemsiz bir örnek. Bilgisayarımda, masaüstüne uzaktan bağlantı için "dışarıda" açık bir RDP bağlantı noktası var. Oturum açma parolası sızdırılırsa saldırgan hemen tam erişim arabaya. Bu nedenle, OTP şifre korumasının güçlendirilmesi konusunda hiçbir soru yoktu - bunun yapılması gerekiyordu. Tekerleği yeniden icat etmek ve her şeyi kendi başıma uygulamaya çalışmak aptalcaydı, bu yüzden sadece piyasadaki çözümlere baktım. Çoğunun ticari olduğu ortaya çıktı (daha fazla ayrıntı kenar çubuğunda), ancak az sayıda kullanıcı için ücretsiz olarak kullanılabilirler. Eviniz için tam da ihtiyacınız olan şey. Kelimenin tam anlamıyla her şey için (VPN, SSH ve RDP dahil) iki faktörlü kimlik doğrulamayı düzenlemenize olanak tanıyan en başarılı hizmetlerden birinin Duo Security olduğu ortaya çıktı (www.duosecurity.com). Projenin geliştiricisi ve kurucusunun tanınmış bir uzman olan John Oberheid olması da projeyi çekici kılıyordu. bilgi Güvenliği. Mesela protokolü parçaladı Google iletişimi ile Android akıllı telefonlar rasgele uygulamaları yükleyebileceğiniz veya kaldırabileceğiniz. Bu temel kendini hissettiriyor: iki faktörlü kimlik doğrulamanın önemini göstermek için adamlar başlattı VPN hizmeti Hunter (www.vpnhunter.com), bir şirketin gizli VPN sunucularını (ve aynı zamanda üzerinde çalıştıkları ekipmanın türünü), uzaktan erişim hizmetlerini (OpenVPN, RDP, SSH) ve diğer altyapı unsurlarını hızlı bir şekilde bulabilir. Bir saldırganın yalnızca kullanıcı adını ve şifreyi bilerek dahili ağa erişmesine izin verin. Hizmetin resmi Twitter'ında, sahiplerinin tanınmış şirketlerin taranmasına ilişkin günlük raporlar yayınlamaya başlaması ve ardından hesabın yasaklanması komik :). Duo Security hizmeti elbette öncelikle çok sayıda kullanıcısı olan şirketlerde iki faktörlü kimlik doğrulamayı tanıtmayı amaçlıyor. Neyse ki bizim için, on kullanıcı için iki faktörlü kimlik doğrulamayı ücretsiz olarak düzenlemenize olanak tanıyan ücretsiz bir Kişisel hesap oluşturmak mümkündür.

İkinci faktör ne olabilir?

Daha sonra, uzak masaüstü bağlantınızın ve sunucunuzdaki SSH'nin güvenliğini tam anlamıyla on dakika içinde nasıl güçlendireceğinize bakacağız. Ancak öncelikle Duo Security'nin ikinci yetkilendirme unsuru olarak getirdiği ek adımdan bahsetmek istiyorum. Birkaç seçenek var: telefon görüşmesi, şifreli SMS, Duo Mobile şifreleri, Duo Push, elektronik anahtar. Her biri hakkında biraz daha.

Ne kadar süreyle ücretsiz kullanabilirim?

Daha önce de belirtildiği gibi Duo Security özel bir teklif sunuyor tarife planı"Kişisel". Tamamen ücretsizdir ancak kullanıcı sayısı ondan fazla olmamalıdır. Sınırsız sayıda entegrasyon ve mevcut tüm kimlik doğrulama yöntemlerinin eklenmesini destekler. Telefon hizmetleri için binlerce ücretsiz kredi sağlar. Krediler, bir arama veya SMS kullanılarak her kimlik doğrulama işlemi gerçekleştiğinde hesabınızdan çekilen dahili bir para birimi gibidir. Hesap ayarlarınızda, belirli sayıda krediye ulaştığınızda bir bildirim alacak ve bakiyenizi doldurmak için zamanınız olacak şekilde bunu ayarlayabilirsiniz. Bin kredinin maliyeti yalnızca 30 dolar. Arama ve SMS ücreti Farklı ülkeler farklı. Rusya için bir aramanın maliyeti 5 ila 20 kredi, SMS - 5 kredidir. Ancak Duo Security web sitesinde kimlik doğrulaması sırasında gerçekleşen aramalardan hiçbir ücret alınmaz. Kimlik doğrulama için Duo Mobile uygulamasını kullanırsanız kredileri tamamen unutabilirsiniz - bunun için hiçbir ücret alınmaz.

Kolay kayıt

Sunucunuzu Duo Security kullanarak korumak için, Duo Security kimlik doğrulama sunucusuyla etkileşime girecek ve ikinci bir koruma katmanı sağlayacak özel bir istemci indirip yüklemeniz gerekir. Buna göre, bu müşteri her durumda farklı olacaktır: iki faktörlü kimlik doğrulamanın tam olarak nerede uygulanması gerektiğine bağlı olarak. Aşağıda bunun hakkında konuşacağız. Yapmanız gereken ilk şey sisteme kayıt olup bir hesap almaktır. Bu nedenle açıyoruz ana sayfa web sitesinde “Ücretsiz Deneme” seçeneğine tıklayın, açılan sayfada Kişisel hesap türü altında “Kayıt Ol” butonuna tıklayın. Daha sonra adımızı, soyadımızı, e-posta adresimizi ve şirket adımızı girmemiz isteniyor. Kaydınızı onaylamak için bir bağlantı içeren bir e-posta almalısınız. Bu durumda sistem belirtilen telefon numarasını otomatik olarak arayacaktır: hesabınızı etkinleştirmek için çağrıyı yanıtlamanız ve telefondaki # tuşuna basmanız gerekir. Bundan sonra hesap aktif olacak ve savaş testine başlayabilirsiniz.

RDP'yi koruma

Yukarıda, masaüstüme uzak bağlantıları güvence altına almak için büyük bir istekle başladığımı söylemiştim. Bu nedenle ilk örnek olarak RDP güvenliğinin nasıl güçlendirileceğini anlatacağım.

İki faktörlü kimlik doğrulamanın herhangi bir uygulaması basit bir işlemle başlar: Duo Güvenlik profilinde entegrasyon adı verilen bir şeyin oluşturulması. “Entegrasyonlar  Yeni Entegrasyon” bölümüne gidin, entegrasyonun adını belirtin (örneğin, “Ev RDP”), “Microsoft RDP” türünü seçin ve “Entegrasyon Ekle”ye tıklayın.

Görüntülenen pencere entegrasyon parametrelerini görüntüler: Entegrasyon anahtarı, Gizli anahtar, API ana bilgisayar adı. Daha sonra istemci kısmını yapılandırırken bunlara ihtiyacımız olacak. Anlamak önemlidir: kimse onları bilmemelidir.

Daha sonra, korumalı makineye, gerekli her şeyi Windows sistemine yükleyecek özel bir istemci yüklemeniz gerekir. Resmi web sitesinden indirilebilir veya diskimizden alınabilir. Tüm kurulumu, kurulum işlemi sırasında yukarıda belirtilen Entegrasyon anahtarını, Gizli anahtarı, API ana bilgisayar adını girmeniz gerekeceği gerçeğine dayanmaktadır.

Aslında hepsi bu. Şimdi, RDP aracılığıyla sunucuya bir sonraki girişinizde ekranda üç alan olacaktır: kullanıcı adı, şifre ve Duo tek kullanımlık anahtar. Buna göre sisteme yalnızca kullanıcı adı ve şifrenizle giriş yapmanız artık mümkün değildir.

Yeni bir kullanıcı ilk kez oturum açmayı denediğinde, Duo Security doğrulama sürecinden bir kez geçmesi gerekecektir. Hizmet ona özel bir bağlantı verecek ve ardından telefon numarasını girmesi ve doğrulama aramasını beklemesi gerekecek. Ek anahtarlar almak için (veya bunları ilk kez almak için) “sms” anahtar kelimesini girebilirsiniz. Telefon görüşmesi kullanarak kimlik doğrulaması yapmak istiyorsanız "telefon" yazın, Duo Push kullanıyorsanız "push" yazın. Sunucuya yapılan tüm bağlantı girişimlerinin (hem başarılı hem de başarısız) geçmişi, önce istenen entegrasyonu seçip "Kimlik Doğrulama Günlüğüne" giderek Duo Security web sitesindeki hesabınızda görüntülenebilir.

Duo Security'yi her yere bağlayın!

İki faktörlü kimlik doğrulamayı kullanarak yalnızca RDP veya SSH'yi değil aynı zamanda VPN'leri, RADIUS sunucularını ve tüm web hizmetlerini de koruyabilirsiniz. Örneğin, popüler Drupal ve WordPress motorlarına ek bir kimlik doğrulama katmanı ekleyen hazır istemciler vardır. Hazır bir istemci yoksa üzülmeyin: Sistem tarafından sağlanan API'yi kullanarak uygulamanız veya web siteniz için her zaman iki faktörlü kimlik doğrulamayı kendiniz ekleyebilirsiniz. API ile çalışmanın mantığı basittir; belirli bir yöntemin URL'sine istekte bulunursunuz ve JSON biçiminde (veya BSON, XML) gelebilecek döndürülen yanıtı ayrıştırırsınız. Duo REST API'ye ilişkin tüm belgeler resmi web sitesinde mevcuttur. Adından ne amaçla kullanıldıklarını tahmin etmenin kolay olduğu ping, check, preauth, auth, status yöntemlerinin olduğunu söyleyeceğim.

SSH'yi koruma

Güvenli kimlik doğrulamayı uygulamak için başka bir entegrasyon türünü ele alalım - "UNIX Entegrasyonu". Duo Security profilimize bir entegrasyon daha ekliyoruz ve istemciyi sisteme yüklemeye devam ediyoruz.

İkincisinin kaynak kodunu bit.ly/IcGgk0 adresinden indirebilir veya diskimizden alabilirsiniz. kullandım En son sürüm- 1.8. Bu arada, istemci çoğu Nix platformunda çalıştığından FreeBSD, NetBSD, OpenBSD, Mac OS X, Solaris/Illumos, HP-UX ve AIX'e kolayca kurulabilir. Derleme işlemi standarttır - yapılandırın && make && sudo make install. Önereceğim tek şey, konfigürasyonu --prefix=/usr seçeneğiyle kullanmaktır, aksi halde istemci başlarken gerekli kütüphaneleri bulamayabilir. Başarılı kurulumun ardından, /etc/duo/login_duo.conf yapılandırma dosyasını düzenlemeye gidin. Bu kökten yapılmalıdır. Başarılı bir çalışma için yapılması gereken tüm değişiklikler, entegrasyon sayfasında yer alan Entegrasyon anahtarı, Gizli anahtar, API ana bilgisayar adı değerlerini ayarlamaktır.

; Duo entegrasyonu keyikey = INTEGRATION_KEY; İkili gizli anahtar anahtarı = SECRET_KEY; Duo API ana makine adı ana bilgisayarı = API_HOSTNAME

Sunucunuza SSH aracılığıyla giriş yapan tüm kullanıcıları iki faktörlü kimlik doğrulama kullanmaya zorlamak için /etc/ssh/sshd_config dosyasına aşağıdaki satırı eklemeniz yeterlidir:

> ForceCommand /usr/local/sbin/login_duo

İki faktörlü kimlik doğrulamayı yalnızca bireysel kullanıcılar için bir grupta birleştirerek ve bu grubu login_duo.conf dosyasında belirterek düzenlemek de mümkündür:

> grup = tekerlek

Değişikliklerin etkili olması için tek yapmanız gereken ssh arka plan programını yeniden başlatmaktır. Şu andan itibaren, oturum açma şifresini başarıyla girdikten sonra kullanıcıdan ek kimlik doğrulaması yapması istenecektir. Bir inceliğe ayrıca dikkat edilmelidir ssh ayarları- Yapılandırma dosyasındaki PermitTunnel ve AllowTcpForwarding seçeneklerinin devre dışı bırakılması önemle tavsiye edilir, çünkü arka plan programı kimlik doğrulamanın ikinci aşamasını başlatmadan önce bunları uygular. Böylece saldırganın şifreyi doğru girmesi halinde port yönlendirme sayesinde kimlik doğrulamanın ikinci aşaması tamamlanmadan iç ağa erişim sağlanabiliyor. Bu etkiyi önlemek için sshd_config'e aşağıdaki seçenekleri ekleyin:

İzinTünel noAllowTcpYönlendirme no

Artık sunucunuz çift duvarın arkasında ve bir saldırganın bu duvarın içine girmesi çok daha zor.

Ek ayarlar

Duo Security hesabınıza giriş yapıp “Ayarlar” bölümüne giderseniz bazı ayarları kendinize göre değiştirebilirsiniz. İlk önemli bölüm “Telefon görüşmeleri”dir. Bu, kimlik doğrulamayı onaylamak için bir telefon görüşmesi kullanıldığında etkili olacak parametreleri belirtir. “Sesli geri arama tuşları” öğesi, kimlik doğrulamayı onaylamak için hangi telefon tuşuna basılması gerektiğini belirlemenize olanak tanır. Varsayılan olarak değer "Kimlik doğrulamak için herhangi bir tuşa basın" şeklindedir; yani herhangi bir tuşa basabilirsiniz. "Kimlik doğrulamak veya sahtekarlığı bildirmek için farklı tuşlara basın" değerini ayarlarsanız, iki anahtar ayarlamanız gerekecektir: ilkine tıklamak kimlik doğrulamayı onaylar (Kimlik doğrulama anahtarı), ikinciye tıklamak (Dolandırıcılığı bildirmek için anahtar) şu anlama gelir: kimlik doğrulama işlemini başlatmadı yani birisi şifremizi aldı ve onu kullanarak sunucuya giriş yapmaya çalışıyor. “SMS şifreleri” öğesi, bir SMS'in içereceği şifrelerin sayısını ve bunların ömrünü (geçerliliğini) ayarlamanıza olanak tanır. "Kilitleme ve dolandırıcılık" parametresi, sunucuya belirli sayıda başarısız giriş denemesi durumunda bildirimin gönderileceği e-posta adresini ayarlamanıza olanak tanır.

Kullan onu!

Şaşırtıcı bir şekilde birçok kişi hala iki faktörlü kimlik doğrulamayı görmezden geliyor. Anlamıyor musun neden. Bu gerçekten güvenliği büyük ölçüde artırır. Hemen hemen her şey için uygulanabilir ve uygun çözümler ücretsiz olarak mevcuttur. Peki neden? Tembellikten veya dikkatsizlikten.

Analog hizmetler

• Signify (www.signify.net) Hizmet, iki faktörlü kimlik doğrulamayı düzenlemek için üç seçenek sunar. Bunlardan ilki elektronik anahtarların kullanılmasıdır. İkinci yöntem ise kullanıcının telefonuna SMS yoluyla gönderilen veya e-posta. Üçüncü seçenek - mobil uygulamaİçin Android telefonlar, iPhone, BlackBerry, tek kullanımlık şifreler oluşturur (esasen Duo Mobile'ın bir benzeri). Hizmet hedefleniyor büyük şirketler, bu nedenle tamamen ödendi.
• SecurEnvoy (www.securenvoy.com) Ayrıca cep telefonunuzu ikinci bir güvenlik katmanı olarak kullanmanızı sağlar. Şifreler kullanıcıya SMS veya e-posta yoluyla gönderilir. Her mesaj üç geçiş anahtarı içerir; yani kullanıcı yeni bir bölüm istemeden önce üç kez oturum açabilir. Hizmet de ücretlidir ancak 30 günlük ücretsiz bir süre sağlar. Önemli bir avantaj, hem yerel hem de üçüncü taraf entegrasyonların çok sayıda olmasıdır.
• PhoneFactor (www.phonefactor.com) Bu hizmet, ayda 500 ücretsiz kimlik doğrulama sağlayarak 25 kullanıcıya kadar ücretsiz iki faktörlü kimlik doğrulama düzenlemenize olanak tanır. Korumayı düzenlemek için özel bir istemci indirip yüklemeniz gerekecektir. Sitenize iki faktörlü kimlik doğrulama eklemeniz gerekiyorsa aşağıdaki programlama dilleri için ayrıntılı belgeler ve örnekler sağlayan resmi SDK'yı kullanabilirsiniz: ASP.NET C#, ASP.NET VB, Java, Perl, Ruby, PHP.

Windows işletim sisteminin sunucu sürümlerinde, kullanıcının daha önce bilgisayarınızda oturum açarken girdiği kimlik bilgilerini bağlantı için kullanmak için harika bir fırsat vardır. Bu şekilde, yayınlanan bir uygulamayı veya yalnızca uzak masaüstünü her başlattıklarında kullanıcı adlarını ve şifrelerini girmek zorunda kalmazlar. Bu şeye teknolojiyi kullanarak Tek Oturum Açma denir CredSSP(Kimlik Bilgisi Güvenliği Hizmet Sağlayıcısı).

Tanım

Bunun çalışması için aşağıdaki koşulların karşılanması gerekir:

• Terminal sunucusu ve ona bağlanan istemcinin etki alanında olması gerekir.
• Terminal sunucusunun işletim sistemi üzerinde yapılandırılması gerekir Windows Server 2008, Windows Server 2008 R2 veya üzeri.
• İstemci bilgisayarda şu işletim sistemi kurulu olmalıdır: Windows XP SP3, Windows Vista, Windows Server 2008, Windows 7, Windows 8 veya Windows Server 2008 R2.

Windows XP SP3 için ek adımlar gerekli olacaktır. Grup ilkeleri aracılığıyla Windows XP SP3 ayarlarını yapılandırmanıza izin verecek bir düzeltme yüklemeniz gerekiyor.
Bu düzeltme (MicrosoftFixit50588.msi) hem web sitemizden hem de web sitemizden indirilebilir:

Öncelikle terminal sunucusundaki güvenlik seviyesini “Müzakere” moduna ayarlayın:

İçinde 2 parametre yapılandırıyoruz: Varsayılan kimlik bilgilerinin iletilmesine izin ver ve "Yalnızca NTLM" sunucu kimlik doğrulamasıyla varsayılan kimlik bilgilerinin devredilmesine izin ver

Yalnızca NTLM sunucu kimlik doğrulamasıyla varsayılan kimlik bilgisi yetkisine izin ver - yalnızca terminal sunucusunun kimliği Kerberos veya SSL sertifikası kullanılarak doğrulanmadıysa yapılandırılması gerekir.

Kullanıcıların giriş ve şifrelerini tekrar girmeden izin vermek istediğimiz sunucuları oraya giriyoruz. Bunları maskeyle veya tek tek girebilirsiniz. Yardım bunu ayrıntılı olarak söylüyor.

Bundan sonra politikayı istenilen bilgisayar(lar)a uyguluyoruz ve kullanıcıların yukarıdaki politikalarda belirtilen terminal sunucularına kullanıcı adı ve şifre girmeden erişmesine izin verilip verilmediğini kontrol ediyoruz.

Alexander Antipov

Makale, Tek Oturum Açma şeffaf yetkilendirme teknolojisinin ve güvenlik hizmeti sağlayıcısı Kimlik Bilgisi Güvenliği Hizmet Sağlayıcısının (CredSSP) işletim algoritmasına genel bir bakış sunmaktadır. İstemci ve sunucu parçalarını kurma yöntemi dikkate alınır.

Uzak bir masaüstünü veya terminal sunucusunda yayınlanan bir uygulamayı başlatırken kullanıcının karşılaştığı ana rahatsızlıklardan biri, kimlik bilgilerini girme ihtiyacıdır. Daha önce bu sorunu çözmek için Uzak Masaüstü istemci ayarlarında kimlik bilgilerini kaydetmeye yönelik bir mekanizma kullanılıyordu. Fakat Bu method birçok önemli dezavantajı bulunmaktadır. Örneğin, şifreyi periyodik olarak değiştirirken, terminal istemci ayarlarında manuel olarak değiştirmek gerekiyordu.

Bu bağlamda, Windows Server 2008'de uzak masaüstüyle çalışmayı kolaylaştırmak için Tek Oturum Açma (SSO) şeffaf yetkilendirme teknolojisinin kullanılması mümkün hale geldi. Bu sayede kullanıcı, terminal sunucusunda oturum açarken, uzak masaüstü istemcisinin başlatıldığı yerel bilgisayarında oturum açarken girdiği kimlik bilgilerini kullanabilir.

Makale, Tek Oturum Açma şeffaf yetkilendirme teknolojisinin ve güvenlik hizmeti sağlayıcısı Kimlik Bilgisi Güvenliği Hizmet Sağlayıcısının (CredSSP) işletim algoritmasına genel bir bakış sunmaktadır. İstemci ve sunucu parçalarını kurma yöntemi dikkate alınır. Uzak masaüstü hizmetlerine yönelik şeffaf yetkilendirmeyle ilgili bir dizi pratik konu da kapsanmaktadır.

Teorik bilgiler

SSO teknolojisi, kullanıcı kimlik bilgilerini kaydetmenize ve bunları bir terminal sunucusuna bağlanırken otomatik olarak aktarmanıza olanak tanır. Grup ilkelerini kullanarak bu yetkilendirme yönteminin kullanılacağı sunucuları tanımlayabilirsiniz. Bu durumda, diğer tüm terminal sunucuları için oturum açma işlemi geleneksel yöntemle gerçekleştirilecektir: kullanıcı adı ve parola girilerek.

Şeffaf yetkilendirme mekanizmaları ilk olarak Windows Server 2008 ve Windows Vista'da ortaya çıktı. yeni güvenlik sağlayıcısı CredSSP'ye teşekkürler. Önbelleğe alınan kimlik bilgilerinin güvenli bir kanal üzerinden iletilmesine izin verdi (Aktarım Katmanı Güvenliği (TLS) kullanılarak). Microsoft daha sonra Windows XP SP3 için ilgili güncelleştirmeleri yayımladı.

Buna daha detaylı bakalım. CredSSP aşağıdaki senaryolarda kullanılabilir:

• İçin ağ katmanı kimlik doğrulama (NLA), kullanıcının daha önce tanınmasına olanak tanır kurulumu tamamla bağlantılar;
• SSO için kullanıcı kimlik bilgilerinin saklanması ve terminale iletilmesi.

Bir gruptaki bir oturumu geri yüklerken CredSSP bağlantı kurma sürecini hızlandırır çünkü terminal sunucusu tam bağlantı kurmadan kullanıcıyı belirler (NLA'ya benzer).

Kimlik doğrulama işlemi aşağıdaki algoritmayı takip eder:

İstemci, TLS kullanarak sunucu ile güvenli bir kanal kurulmasını başlatır. Sunucu ona adı, sertifika yetkilisini ve ortak anahtarı içeren sertifikasını verir. Sunucu sertifikası otomatik olarak imzalanabilir.

Sunucu ve istemci arasında bir oturum kurulur. Bunun için daha sonra şifrelemeye katılacak karşılık gelen bir anahtar oluşturulur. CredSSP, sunucu ve istemcinin birbirine güvenebilmesi için karşılıklı olarak kimlik doğrulaması yapmak üzere Basit ve Korumalı Anlaşma (SPNEGO) protokolünü kullanır. Bu mekanizma, istemci ve sunucunun bir kimlik doğrulama mekanizması (Kerberos veya NTLM gibi) seçmesine olanak tanır.

Müdahaleye karşı koruma sağlamak için, istemci ve sunucu, oturum anahtarını kullanarak sunucu sertifikasını dönüşümlü olarak şifreler ve bunu birbirlerine iletir.

Değişimin sonuçları ve orijinal sertifika eşleşirse, istemcideki CredSSP, kullanıcının kimlik bilgilerini sunucuya gönderir.

Böylece, kimlik bilgilerinin iletimi, müdahaleye karşı korumalı şifreli bir kanal üzerinden gerçekleşir.

Ayarlar

Güvenlik hizmeti sağlayıcısı CredSSP, işletim sisteminin bir parçasıdır ve Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2'de bulunur. Ayrıca Windows XP SP3'e ayrı bir güncelleme olarak da kurulabilir. Bu süreç “Windows XP Service Pack 3'teki Kimlik Bilgisi Güvenliği Destek Sağlayıcısının (CredSSP) Açıklaması” makalesinde ayrıntılı olarak anlatılmaktadır." CredSSP'yi Windows XP SP3'e yüklemek ve etkinleştirmek için aşağıdaki adımları izlemelisiniz.

1. Kayıt defteri düzenleyicisi regedit'ini çalıştırın ve şubeye gidin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa.

2. Güvenlik Paketleri anahtarına tspkg değerini ekleyin

3. Kayıt şubesine gidin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders.

4. Credssp.dll değerini SecurityProviders anahtarına ekleyin (bu anahtarın geri kalan değerleri değişmeden bırakılmalıdır).

CredSSP etkinleştirildikten sonra, grup ilkelerini veya ilgili kayıt defteri anahtarlarını kullanarak kullanımını yapılandırmanız gerekir. İstemci bilgisayarlarda SSO'yu yapılandırmak için aşağıdaki bölümdeki grup ilkelerini kullanın:

Bilgisayar Yapılandırması\Yönetim Şablonları\Sistem\Kimlik Bilgileri Yetkilendirme .

İşletim sistemlerinin Rusça versiyonlarında şuna benzer (Şekil 1).

Pirinç. 1. Grup ilkelerini kullanarak kimlik bilgilerinin aktarımını yönetme

SSO'yu kullanmak için politikayı etkinleştirmeniz gerekir:

Varsayılan kimlik bilgilerinin aktarılmasına izin ver.

Ayrıca etkinleştirme sonrasında bu yetkilendirme yönteminin hangi sunucular için kullanılacağını belirlemelisiniz. Bunu yapmak için aşağıdaki adımları uygulamanız gerekir.

Politika düzenleme penceresinde (Şekil 2), “Göster” düğmesine tıklayın

Pirinç. 2. Grup İlkesi düzenleme penceresi

Terminal sunucularının bir listesini ekleyin (Şekil 3).

Pirinç. 3. Şeffaf yetkilendirme için terminal sunucusu ekleme

Sunucu ekleme satırı aşağıdaki formata sahiptir:

TERMSRV/sunucu_adı .

Sunucuları etki alanı maskesine göre de belirtebilirsiniz. Bu durumda satır şu şekli alır:

TERMSRV/*.etkialanı_adı .

Grup ilkelerini kullanmak mümkün değilse Kayıt Defteri Düzenleyicisi kullanılarak uygun ayarlar yapılabilir. Örneğin, Windows ayarları XP Sp3 için aşağıdaki kayıt defteri dosyasını kullanabilirsiniz:

Windows Kayıt Defteri Düzenleyicisi Sürüm 5.00

"Güvenlik Paketleri"=hex (7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\

00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00, \

6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74, \

00,73,00,70,00,6b,00,67,00,00,00,00,00

"SecurityProviders"="msapsspc.dll, schannel.dll, sindirim.dll, msnsspc.dll, credssp.dll"

"AllowDefaultCredentials"=dword:00000001

"ConcatenateDefaults_AllowDefault"=dword:00000001

"1"="termsrv/*.alanadim.com"

Burada alanim.com yerine alan adını kullanmalısınız. Bu durumda terminal sunucularına bağlanırken alan adı(örneğin, terimlerserver1.alanadim.com) şeffaf yetkilendirme kullanılacaktır.

Tek Oturum Açma teknolojisini bir terminal sunucusunda kullanmak için aşağıdaki adımları uygulamanız gerekir.

Terminal Hizmetleri Yapılandırma Konsolunu (tsconfig.msc) açın.

Bağlantı bölümünde RDP-Tcp özelliklerine gidin.

“Genel” sekmesinde güvenlik düzeyini “Müzakere” veya “SSL (TLS 1.0)” olarak ayarlayın (Şekil 4).

Pirinç. 4. Terminal sunucusunda güvenlik düzeyinin ayarlanması

Bu noktada client ve sunucu kısımlarının kurulumu tamamlanmış sayılabilir.

Pratik bilgiler

Bu bölümde şeffaf yetkilendirme teknolojisinin kullanımına ilişkin kısıtlamaları ve kullanımı sırasında ortaya çıkabilecek sorunları ele alacağız.

• Tek Oturum Açma teknolojisi yalnızca Windows XP SP3 ve daha eski sürümler dışındaki işletim sistemlerini çalıştıran bilgisayarlardan bağlanırken çalışır. Bilgisayarlar işletim sistemi Windows Vista, Windows Server 2008, Windows 7 ve Windows Server 2008 R2.
• Bağlantının yapıldığı terminal sunucusunun kimliği Kerberos veya SSL sertifikası ile doğrulanamıyorsa SSO çalışmaz. Bu sınırlama aşağıdaki politika kullanılarak atlanabilir:
  Varsayılan "yalnızca NTLM" sunucu kimlik doğrulaması olarak ayarlanmış kimlik bilgilerinin devredilmesine izin verin.
• Bu grup ilkesini etkinleştirme ve yapılandırma algoritması yukarıda sunulana benzer. Bu ayara karşılık gelen kayıt defteri dosyası şuna benzer.

"AllowDefCredentialsWhenNTLMOnly"=dword:00000001

"ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001

"1"="termsrv/*.alanadim.com"

Bu yöntemi kullanan kimlik doğrulama, sertifika veya Kerberos kullanmaya göre daha az güvenlidir.

• Bir sunucunun kimlik bilgileri terminal istemcisi ayarlarında kayıtlıysa, bunlar geçerli kimlik bilgilerinden daha yüksek önceliğe sahiptir.
• Tek Oturum Açma yalnızca etki alanı hesapları kullanılırken çalışır.
• Terminal sunucusuna bağlantı TH Ağ Geçidi aracılığıyla yapılıyorsa, bazı durumlarda TH Ağ Geçidi sunucusu ayarları, terminal istemcisinin SSO ayarlarına göre öncelikli olabilir.
• Terminal sunucusu her seferinde kullanıcı kimlik bilgilerini isteyecek şekilde yapılandırılmışsa SSO çalışmaz.
• Şeffaf yetkilendirme teknolojisi yalnızca şifrelerle çalışır. Akıllı kart kullanırsanız çalışmaz.

SSO'nun Windows XP SP'de düzgün çalışması için KB953760'tan iki düzeltmeyi yüklemeniz önerilir: "Windows XP SP3 tabanlı bir istemci bilgisayardan bir terminal sunucusu için SSO'yu etkinleştirdiğinizde, oturum açtığınızda sizden yine de kullanıcı kimlik bilgileri istenir. terminal sunucusuna ».

Bazı durumlarda şeffaf yetkilendirme teknolojisinin, bağlanan kullanıcının profiline bağlı olarak aynı terminal istemcisinde çalışıp çalışmaması mümkündür. Kullanıcı profilinin yeniden oluşturulmasıyla sorun çözülür. Bu çok zaman alıcı bir görevse, tartışmadaki ipuçlarını kullanmayı deneyebilirsiniz: "Windows 7 istemcisinden RemoteApp Tek Oturum Açma (SSO)» Microsoft Technet forumları. Özellikle ayarların sıfırlanması tavsiye edilir İnternet Explorer veya bunun için uygun eklentiyi onaylayın.

SSO teknolojisinin bir diğer önemli sınırlaması, yayınlanan uygulamaları TS Web Erişimi aracılığıyla çalıştırırken çalışmamasıdır. Bu durumda kullanıcı, kimlik bilgilerini iki kez girmek zorunda kalır: web arayüzünde oturum açarken ve terminal sunucusunda yetkilendirme yaparken.

Windows Server 2008 R2'de durum daha iyiye doğru değişti. Daha detaylı bilgi bunu şu makalede bulabilirsiniz: "RemoteApp ve Masaüstü Bağlantıları için Web'de Tek Oturum Açmaya Giriş" ».

Çözüm

Makalede Tek Oturum Açma terminal sunucularında şeffaf yetkilendirme teknolojisi tartışılmaktadır. Kullanımı, kullanıcının terminal sunucusunda oturum açmak ve uzak uygulamaları başlatmak için harcadığı süreyi azaltmanıza olanak tanır. Ayrıca, onun yardımıyla, yerel bilgisayarınıza giriş yaparken kimlik bilgilerinizi bir kez girmeniz ve ardından bunları ağa bağlanırken kullanmanız yeterlidir. terminal sunucuları ihtisas. Kimlik bilgilerini aktarma mekanizması oldukça güvenlidir ve sunucu ile istemci parçalarının kurulumu son derece basittir.