none
RDS a privátní certifikáty

    Dotaz

  • Dobrý den,

    Testujeme nasazení RDS serveru a chtěl bych se zeptat, jestli někdo nezkoušel/nenasazoval připojování k RDS pomocí privátní certifikátu uživatele?

    Moje představa je taková, že před připojením bude muset uživatel zadat svůj certifikát vydaný privátní certifikační autoritou, jméno, heslo a teprve potom mu bude umožněno připojení. Ideální by bylo pokud by šlo vybrat certifikát uložený na flashdisku.

    Zkoušel jsem po tomto scénáři pátrat na webu, ale nic moc jsem nenašel. Neporadí někdo nějaký zdroj?

    Ještě jsem zapomněl že jde o WS 2012 a klienti budou Windows XP SP3, Windows 7 Professional a Windows 8 Pro.

    Díky. O.

    5. března 2013 9:54

Odpovědi

  • musíte mít ten certifikát v čipové kartě. potom si necháte čipovou kartu přesměrovat do terminálové relace a přihlásíte se tou čipovou kartou/certifikátem. K tomu musíte ale nejprve rozjet obecně přihlašování čipovými kartami, normálně CTRL-ALT-DEL do Windows. Pojede to klidně s Windows 2000 a novějšími, podstatně lépe ovšem až od Windows XP.

    Ano, pro RDGAteway byste to mohl použít tak, že by byl potřeba jen software certifikát na stanici uživatele. Ale to by ten člověk musel stejně pak ještě zadávat login a heslo, což je zbytečné. Udělejte pořádný smart card logon, čipová karta a čtečka, nebo token vás bude stát 1000,- a přitom máte ultrabezpečnost.

    ondra.

    • Označen jako odpověď Ondrej Marik 13. března 2013 7:48
    13. března 2013 7:27

Všechny reakce

  • 1. Nezkousel, protoze bych to resil jinak.

    2. Mohl by pomoci clanek http://technet.microsoft.com/en-us/library/dd320340(v=ws.10).aspx

    3. Mozna nebude uplne jednoduche dodrzet vyssi zabezpeceni s tak sirokym spektrem desktopovych operacnich systemu.

    M.

    5. března 2013 19:28
    Moderátor
  • RDS s takovym scenarem nepocita. Nicmene RemoteApp (pripadne RDGateway) funguji pres WEB sluzby na standardnim IIS, kde si muzete autentizaci uzivatelskymi certifikaty zapnout. Jestli to vsak bude fungovat je ve hvezdach.
    7. března 2013 7:38
  • musíte mít ten certifikát v čipové kartě. potom si necháte čipovou kartu přesměrovat do terminálové relace a přihlásíte se tou čipovou kartou/certifikátem. K tomu musíte ale nejprve rozjet obecně přihlašování čipovými kartami, normálně CTRL-ALT-DEL do Windows. Pojede to klidně s Windows 2000 a novějšími, podstatně lépe ovšem až od Windows XP.

    Ano, pro RDGAteway byste to mohl použít tak, že by byl potřeba jen software certifikát na stanici uživatele. Ale to by ten člověk musel stejně pak ještě zadávat login a heslo, což je zbytečné. Udělejte pořádný smart card logon, čipová karta a čtečka, nebo token vás bude stát 1000,- a přitom máte ultrabezpečnost.

    ondra.

    • Označen jako odpověď Ondrej Marik 13. března 2013 7:48
    13. března 2013 7:27
  • k tomu uložení na flash-disku - to nemá bezpečnostní smysl. Flash disk se dá jednoduše kopírovat. Narozdíl od čipové karty, kterou si uživatel sám nezkopíruje. Proč byste to chtěl mít na fleshce, tedy, když si to člověk libovolně zkopíruje, jakýkoliv virus si udělá kopii a pošle ten certifikát svému hackerovi.

    Proč byste tam chtěl ještě login a heslo? to se dá jednoduše odchytit libovolným keyloggerem.

    Jestli chcete mít bezpečnost, a proto chcete ten certifikát, předpokládám, tak potřebujete čipovou kartu. Řešení s flashdiskem (nehledě na to, že to nelze :-)) nepřináší nic lepšího, než použití jen obyčejného loginu a hesla, krom toho, že to trošku otravuje uživatele :-)

    ondra.


    Ondrej Sevecek, www.sevecek.com
    13. března 2013 7:33
  • Zdravím,

    No nakonec jsem zjistil, že nám asi stejně nic jiného než vámi popsané řešení nezbyde. Chtěl jsem se těm kartám vyhnout kvůli tomu, že by každý musel mít právě čtečku a tahat usb čtečku. Pro lidi s notebookem nebo tabletem to pak bude otrava, v tom by ten flash disk byl lepší.

    Řešili jsme totiž reklamní flash disky a výrobce nám nabídnul, že umí udělat i disky, kde část datové prostoru je blokovaná pro manipulaci uživatelem tzn. jednou tam admin nahraje data a nikdo je nesmaže. Kvůli riziku zkopírování apod. jsem právě chtěl ještě to jméno a heslo. Cenově to pak výchází na 200-300 na uživatele. Ještě jsem vygooglil řešení, které umí udělat (emulovat) flash disk jako kartu tak budu testovat ještě tohle.

    V každém případě děkuju všem za reakci a omlouvám se za pozdní odpověď.

    O.

    13. března 2013 7:48
  • nemusíte mít kartu+čtečku, můžete místo toho mít USB token - podívejte se na obrázky v mém článečku zde:

    http://www.sevecek.com/Lists/Posts/Post.aspx?ID=154

    pokud byste to chtěl někde nakupovat, vřele NEdoporučuju ok system, poslední 3 měsíce na mě kašlali. koupil jsem na www.cryptoshop.com (firma z Vídně) a dostal balík do týdne dokonce za nižší cenu, než od ok system.

    ondra.

    13. března 2013 9:39