Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 19-05-2009, 10:05 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Gia tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL
Gia tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL
Gia tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL

I. Giới Thiệu
- Mặc định Terminal server dùng chế độ mã hóa native RDP . Chế độ này không chứng thực server . Do đó để gia tăng tính bảo mật khi remote desktop thì chúng ta sẽ sử dụng Transport Layer Security (TLS) version 1.0 . Với chế độ này chúng ta có thể mã hóa và chứng thực máy remote tới server

II. Chuẩn bị
- Máy client phải là windows XP or window 2000 và phải cài RDP 5.2 . Download tại đây : http://nhatnghe.com/tailieu/remote_ssl/tool/rdp.msi

- Máy Terminal server phải là windows server 2003 SP1 trở lên . Phải cài các component sau : ( phải cài theo thứ tự )
* ASP.net
* IIS
* Stand alone – CA

III. Thực Hiện

A. Cấu hình trên máy Terminal Server

• Cài đặt Certificate

B1 : Mở Internet explorer : đánh vào địa chỉ http://IP_máy_server/certsrv
B2 : Chọn Request a certificate
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

B3 : Chọn Advanced Certificate Request
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

B4: Chọn Create and submite a request to this CA
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

B5 : Điền thông tin trong phần Identifying Information giống như trong hình .
***** Phần name rất quan trọng . Nếu bạn muốn client remote bằng tên gì thì tên CA phải để giống như vậy. Ví dụ nếu muốn remote qua đường internet thì chỗ này phải để con IP tĩnh , or domain , or host cập nhật IP động . Còn làm test trong lan chơi thì chỗ này hoặc là để IP hoặc là để tên máy tính ( tùy vào việc muốn client remote tới server bằng cái gì )
- Type of certificate needed : Chọn Server Authentication Certificate
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

Cuộn xuống dưới :
- CSP : chọn Microsoft RSA SChannnel Cryptographic Provider
- Chọn mục Mark keys as exportable
- Chọn mục Store certificate in the local computer certificate store
- Chọn Submite > Yes


Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576


B6 : Start > Program > Administrative tools > Certification Authority > Chọn Pending Request
B7 : Chuột phải lên CA trong đây > All tasks > Issue
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

B8 : Mở IE > truy cập http://IP_máy_server/certsrv
Chọn View the status of a pending certificate request
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

Chọn Server Authentication Certificate
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

Chọn install this certificate
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

Chọn yes


• Cấu hình Transport Layer Security : chứng thực và mã hóa

B1 : Start > Program > Administrative tools > Terminal Services Configuration
B2 : Trong khung bên trái chọn connection > Khung bên phải : chuột phải RDP-tcp > chọn Properties
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576

B3 : Trong tab General > Chọn Edit


B4 : Chọn CA đã xin > Ok > OK


B5 : Trong phần security layer có 3 lựa chọn :
*RDP Security Layer : chế độ mặc định khi remote desktop thông thường
*Negotiate : Chế độ này sẽ dùng TLS để chứng thực máy client , tuy nhiên nếu máy client không hỗ trợ TLS thì máy đó sẽ không được chứng thực
*SSL : Chế độ này sẽ dùng TLS để chứng thực máy client , nếu máy client không hỗ trợ TLS thì sẽ không thể tạo kết nối tới server

- Ở đây chúng ta dùng chế độ SSl
- Nếu dùng SSL or Negotiate thì trong phần encrytion level phải chọn là High . Ở chế độ high này thì đường truyền sẽ được mã hóa ở chế độ 128 bit
- Đánh dấu chọn vào mục “Use standard Windows logon interface”

B. Download CA từ máy Server và import vào client

Thực hiện trên Server
B1 : Mở IE đánh địa chỉ : http://localhost/certsrv
B2 : Chọn Download a CA certificate , certificate chain , or CLS


B3 : Chọn Download a certificate


B4 : Chọn Save > chọn nơi lưu > copy file mới save dzô USB để dành


Thực hiện trên client :
B1 : Mở start > run > đánh lệnh MMC
B2 : Menu File > Chọn add/remove spap-in > chọn Add
B3 :Chọn Certificates


B4 : Chọn Computer accounts > next > Finish


B5 : Chỉnh Regedit > Start > run > regedit > tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

- Chuột phải lên Terminal Server Client > chọn New > Dword value > Sửa tên giá trị mới tạo thành AuthenticationLevelOverride

- Double click vào AuthenticationLevelOverride > Trong ô value data đánh vào gía trị : 1

B6 : Kiểm tra : Start > program > remote desktop connection ( anh nào mở start > run > oánh mstsc >Có thể nó ra phiên bản RDP cũ hổng chạy ráng chịu )

B7 : Trong cửa sổ remote connection > chọn option > qua tab security > Quan sát trong mục Authentication > là Required Authentication


B8: Qua tab General > điền vào phần computer cái tên CA mà bạn đã xin trên server ( tên máy tính , IP …. ) > chọn connect


B9 : Remote thành công > quan sát thấy đường truyền giữa client và server đã được mã hóa ( cái biểu tượng khóa màu vàng á )
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 700x576

My_money
__________________

  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 06:32 AM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.