Tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL

Tăng Độ Bảo Mật Khi Remote Desktop Bằng SSL
I. Giới Thiệu
- Mặc định Terminal server dùng chế độ mã hóa native RDP . Chế độ này không chứng thực server . Do đó để gia tăng tính bảo mật khi remote desktop thì chúng ta sẽ sử dụng Transport Layer Security (TLS) version 1.0 . Với chế độ này chúng ta có thể mã hóa và chứng thực máy remote tới server

II. Chuẩn bị
- Máy client phải là windows XP or window 2000 và phải cài RDP 5.2 . Download tại đây : http://nhatnghe.com/tailieu/remote_ssl/tool/rdp.msi

- Máy Terminal server phải là windows server 2003 SP1 trở lên . Phải cài các component sau : ( phải cài theo thứ tự )
* ASP.net
* IIS
* Stand alone – CA

III. Thực Hiện

A. Cấu hình trên máy Terminal Server

• Cài đặt Certificate

B1 : Mở Internet explorer : đánh vào địa chỉ http://IP_máy_server/certsrv
B2 : Chọn Request a certificate


B3 : Chọn Advanced Certificate Request


B4: Chọn Create and submite a request to this CA


B5 : Điền thông tin trong phần Identifying Information giống như trong hình .
***** Phần name rất quan trọng . Nếu bạn muốn client remote bằng tên gì thì tên CA phải để giống như vậy. Ví dụ nếu muốn remote qua đường internet thì chỗ này phải để con IP tĩnh , or domain , or host cập nhật IP động . Còn làm test trong lan chơi thì chỗ này hoặc là để IP hoặc là để tên máy tính ( tùy vào việc muốn client remote tới server bằng cái gì )
- Type of certificate needed : Chọn Server Authentication Certificate


Cuộn xuống dưới :
- CSP : chọn Microsoft RSA SChannnel Cryptographic Provider
- Chọn mục Mark keys as exportable
- Chọn mục Store certificate in the local computer certificate store
- Chọn Submite > Yes





B6 : Start > Program > Administrative tools > Certification Authority > Chọn Pending Request
B7 : Chuột phải lên CA trong đây > All tasks > Issue


B8 : Mở IE > truy cập http://IP_máy_server/certsrv
Chọn View the status of a pending certificate request


Chọn Server Authentication Certificate


Chọn install this certificate


Chọn yes


• Cấu hình Transport Layer Security : chứng thực và mã hóa

B1 : Start > Program > Administrative tools > Terminal Services Configuration
B2 : Trong khung bên trái chọn connection > Khung bên phải : chuột phải RDP-tcp > chọn Properties



B3 : Trong tab General > Chọn Edit



B4 : Chọn CA đã xin > Ok > OK



B5 : Trong phần security layer có 3 lựa chọn :
*RDP Security Layer : chế độ mặc định khi remote desktop thông thường
*Negotiate : Chế độ này sẽ dùng TLS để chứng thực máy client , tuy nhiên nếu máy client không hỗ trợ TLS thì máy đó sẽ không được chứng thực
*SSL : Chế độ này sẽ dùng TLS để chứng thực máy client , nếu máy client không hỗ trợ TLS thì sẽ không thể tạo kết nối tới server

- Ở đây chúng ta dùng chế độ SSl
- Nếu dùng SSL or Negotiate thì trong phần encrytion level phải chọn là High . Ở chế độ high này thì đường truyền sẽ được mã hóa ở chế độ 128 bit
- Đánh dấu chọn vào mục “Use standard Windows logon interface”

B. Download CA từ máy Server và import vào client

Thực hiện trên Server
B1 : Mở IE đánh địa chỉ : http://localhost/certsrv
B2 : Chọn Download a CA certificate , certificate chain , or CLS


B3 : Chọn Download a certificate


B4 : Chọn Save > chọn nơi lưu > copy file mới save dzô USB để dành



Thực hiện trên client :
B1 : Mở start > run > đánh lệnh MMC
B2 : Menu File > Chọn add/remove spap-in > chọn Add
B3 :Chọn Certificates



B4 : Chọn Computer accounts > next > Finish



B5 : Chỉnh Regedit > Start > run > regedit > tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client

- Chuột phải lên Terminal Server Client > chọn New > Dword value > Sửa tên giá trị mới tạo thành AuthenticationLevelOverride

- Double click vào AuthenticationLevelOverride > Trong ô value data đánh vào gía trị : 1

B6 : Kiểm tra : Start > program > remote desktop connection ( anh nào mở start > run > oánh mstsc >Có thể nó ra phiên bản RDP cũ hổng chạy ráng chịu )

B7 : Trong cửa sổ remote connection > chọn option > qua tab security > Quan sát trong mục Authentication > là Required Authentication



B8: Qua tab General > điền vào phần computer cái tên CA mà bạn đã xin trên server ( tên máy tính , IP …. ) > chọn connect



B9 : Remote thành công > quan sát thấy đường truyền giữa client và server đã được mã hóa ( cái biểu tượng khóa màu vàng á )

Ngồn : Nhatnghe

url:http://haiphongit.com/forum/showthread.php?t=2842