I. Giới Thiệu
- Mặc định Terminal server dùng chế độ mã hóa native RDP . Chế độ này không chứng thực server . Do đó để gia tăng tính bảo mật khi remote desktop thì chúng ta sẽ sử dụng Transport Layer Security (TLS) version 1.0 . Với chế độ này chúng ta có thể mã hóa và chứng thực máy remote tới server
II. Chuẩn bị
- Máy client phải là windows XP or window 2000 và phải cài RDP 5.2 . Download tại đây : http://nhatnghe.com/tailieu/remote_ssl/tool/rdp.msi
- Máy Terminal server phải là windows server 2003 SP1 trở lên . Phải cài các component sau : ( phải cài theo thứ tự )
* ASP.net
* IIS
* Stand alone – CA
III. Thực Hiện
A. Cấu hình trên máy Terminal Server
• Cài đặt Certificate
B1 : Mở Internet explorer : đánh vào địa chỉ http://IP_máy_server/certsrv
B2 : Chọn Request a certificate
B3 : Chọn Advanced Certificate Request
B4: Chọn Create and submite a request to this CA
B5 : Điền thông tin trong phần Identifying Information giống như trong hình .
***** Phần name rất quan trọng . Nếu bạn muốn client remote bằng tên gì thì tên CA phải để giống như vậy. Ví dụ nếu muốn remote qua đường internet thì chỗ này phải để con IP tĩnh , or domain , or host cập nhật IP động . Còn làm test trong lan chơi thì chỗ này hoặc là để IP hoặc là để tên máy tính ( tùy vào việc muốn client remote tới server bằng cái gì )
- Type of certificate needed : Chọn Server Authentication Certificate
Cuộn xuống dưới :
- CSP : chọn Microsoft RSA SChannnel Cryptographic Provider
- Chọn mục Mark keys as exportable
- Chọn mục Store certificate in the local computer certificate store
- Chọn Submite > Yes
B6 : Start > Program > Administrative tools > Certification Authority > Chọn Pending Request
B7 : Chuột phải lên CA trong đây > All tasks > Issue
B8 : Mở IE > truy cập http://IP_máy_server/certsrv
Chọn View the status of a pending certificate request
Chọn Server Authentication Certificate
Chọn install this certificate
Chọn yes
• Cấu hình Transport Layer Security : chứng thực và mã hóa
B1 : Start > Program > Administrative tools > Terminal Services Configuration
B2 : Trong khung bên trái chọn connection > Khung bên phải : chuột phải RDP-tcp > chọn Properties
B3 : Trong tab General > Chọn Edit
B4 : Chọn CA đã xin > Ok > OK
B5 : Trong phần security layer có 3 lựa chọn :
*RDP Security Layer : chế độ mặc định khi remote desktop thông thường
*Negotiate : Chế độ này sẽ dùng TLS để chứng thực máy client , tuy nhiên nếu máy client không hỗ trợ TLS thì máy đó sẽ không được chứng thực
*SSL : Chế độ này sẽ dùng TLS để chứng thực máy client , nếu máy client không hỗ trợ TLS thì sẽ không thể tạo kết nối tới server
- Ở đây chúng ta dùng chế độ SSl
- Nếu dùng SSL or Negotiate thì trong phần encrytion level phải chọn là High . Ở chế độ high này thì đường truyền sẽ được mã hóa ở chế độ 128 bit
- Đánh dấu chọn vào mục "Use standard Windows logon interface"
B. Download CA từ máy Server và import vào client
Thực hiện trên Server
B1 : Mở IE đánh địa chỉ : http://localhost/certsrv
B2 : Chọn Download a CA certificate , certificate chain , or CLS
B3 : Chọn Download a certificate
B4 : Chọn Save > chọn nơi lưu > copy file mới save dzô USB để dành
Thực hiện trên client :
B1 : Mở start > run > đánh lệnh MMC
B2 : Menu File > Chọn add/remove spap-in > chọn Add
B3 :Chọn Certificates
B4 : Chọn Computer accounts > next > Finish
B5 : Chỉnh Regedit > Start > run > regedit > tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client
- Chuột phải lên Terminal Server Client > chọn New > Dword value > Sửa tên giá trị mới tạo thành AuthenticationLevelOverride
- Double click vào AuthenticationLevelOverride > Trong ô value data đánh vào gía trị : 1
B6 : Kiểm tra : Start > program > remote desktop connection ( anh nào mở start > run > oánh mstsc >Có thể nó ra phiên bản RDP cũ hổng chạy ráng chịu )
B7 : Trong cửa sổ remote connection > chọn option > qua tab security > Quan sát trong mục Authentication > là Required Authentication
B8: Qua tab General > điền vào phần computer cái tên CA mà bạn đã xin trên server ( tên máy tính , IP …. ) > chọn connect
B9 : Remote thành công > quan sát thấy đường truyền giữa client và server đã được mã hóa ( cái biểu tượng khóa màu vàng á )
__________________
Source: nhatnghe.com
- Mặc định Terminal server dùng chế độ mã hóa native RDP . Chế độ này không chứng thực server . Do đó để gia tăng tính bảo mật khi remote desktop thì chúng ta sẽ sử dụng Transport Layer Security (TLS) version 1.0 . Với chế độ này chúng ta có thể mã hóa và chứng thực máy remote tới server
II. Chuẩn bị
- Máy client phải là windows XP or window 2000 và phải cài RDP 5.2 . Download tại đây : http://nhatnghe.com/tailieu/remote_ssl/tool/rdp.msi
- Máy Terminal server phải là windows server 2003 SP1 trở lên . Phải cài các component sau : ( phải cài theo thứ tự )
* ASP.net
* IIS
* Stand alone – CA
III. Thực Hiện
A. Cấu hình trên máy Terminal Server
• Cài đặt Certificate
B1 : Mở Internet explorer : đánh vào địa chỉ http://IP_máy_server/certsrv
B2 : Chọn Request a certificate
 | Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 39KB |
B3 : Chọn Advanced Certificate Request
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 22KB |
B4: Chọn Create and submite a request to this CA
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 24KB |
B5 : Điền thông tin trong phần Identifying Information giống như trong hình .
***** Phần name rất quan trọng . Nếu bạn muốn client remote bằng tên gì thì tên CA phải để giống như vậy. Ví dụ nếu muốn remote qua đường internet thì chỗ này phải để con IP tĩnh , or domain , or host cập nhật IP động . Còn làm test trong lan chơi thì chỗ này hoặc là để IP hoặc là để tên máy tính ( tùy vào việc muốn client remote tới server bằng cái gì )
- Type of certificate needed : Chọn Server Authentication Certificate
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 25KB |
Cuộn xuống dưới :
- CSP : chọn Microsoft RSA SChannnel Cryptographic Provider
- Chọn mục Mark keys as exportable
- Chọn mục Store certificate in the local computer certificate store
- Chọn Submite > Yes
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 24KB |
B6 : Start > Program > Administrative tools > Certification Authority > Chọn Pending Request
B7 : Chuột phải lên CA trong đây > All tasks > Issue
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 23KB |
B8 : Mở IE > truy cập http://IP_máy_server/certsrv
Chọn View the status of a pending certificate request
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 28KB |
Chọn Server Authentication Certificate
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 23KB |
Chọn install this certificate
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 21KB |
Chọn yes
• Cấu hình Transport Layer Security : chứng thực và mã hóa
B1 : Start > Program > Administrative tools > Terminal Services Configuration
B2 : Trong khung bên trái chọn connection > Khung bên phải : chuột phải RDP-tcp > chọn Properties
| Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 800x576 và dung lượng là 19KB |
B3 : Trong tab General > Chọn Edit
B4 : Chọn CA đã xin > Ok > OK
B5 : Trong phần security layer có 3 lựa chọn :
*RDP Security Layer : chế độ mặc định khi remote desktop thông thường
*Negotiate : Chế độ này sẽ dùng TLS để chứng thực máy client , tuy nhiên nếu máy client không hỗ trợ TLS thì máy đó sẽ không được chứng thực
*SSL : Chế độ này sẽ dùng TLS để chứng thực máy client , nếu máy client không hỗ trợ TLS thì sẽ không thể tạo kết nối tới server
- Ở đây chúng ta dùng chế độ SSl
- Nếu dùng SSL or Negotiate thì trong phần encrytion level phải chọn là High . Ở chế độ high này thì đường truyền sẽ được mã hóa ở chế độ 128 bit
- Đánh dấu chọn vào mục "Use standard Windows logon interface"
B. Download CA từ máy Server và import vào client
Thực hiện trên Server
B1 : Mở IE đánh địa chỉ : http://localhost/certsrv
B2 : Chọn Download a CA certificate , certificate chain , or CLS
B3 : Chọn Download a certificate
B4 : Chọn Save > chọn nơi lưu > copy file mới save dzô USB để dành
Thực hiện trên client :
B1 : Mở start > run > đánh lệnh MMC
B2 : Menu File > Chọn add/remove spap-in > chọn Add
B3 :Chọn Certificates
B4 : Chọn Computer accounts > next > Finish
B5 : Chỉnh Regedit > Start > run > regedit > tìm đến khóa HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client
- Chuột phải lên Terminal Server Client > chọn New > Dword value > Sửa tên giá trị mới tạo thành AuthenticationLevelOverride
- Double click vào AuthenticationLevelOverride > Trong ô value data đánh vào gía trị : 1
B6 : Kiểm tra : Start > program > remote desktop connection ( anh nào mở start > run > oánh mstsc >Có thể nó ra phiên bản RDP cũ hổng chạy ráng chịu
)B7 : Trong cửa sổ remote connection > chọn option > qua tab security > Quan sát trong mục Authentication > là Required Authentication
B8: Qua tab General > điền vào phần computer cái tên CA mà bạn đã xin trên server ( tên máy tính , IP …. ) > chọn connect
B9 : Remote thành công > quan sát thấy đường truyền giữa client và server đã được mã hóa ( cái biểu tượng khóa màu vàng á
) | Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 700x576 và dung lượng là 42KB |
__________________Source: nhatnghe.com
0 comments:
Post a Comment