none
Windows 2003 e Terminal server RRS feed

  • Domanda

  • Salve,

    ho implementato i certificati su una connessione terminal ma noto che è possibile bypassarla inserendo l'ip del server;

    è possibile confinare gli utenti (non in dominio) a usare solo connessione rdp con certificati?

    Per spiegarmi meglio è come un sito https che se uno prova con http non riesce a vedere un tubo con un avviso di ricollegarsi con https

    NB Quando inserisco il nome server in FQDN e ho il certiificato CA installato sul pc allora esce sulla barra un lucchetto mentre se inserisco l'ip pubblico allora mi avvisa che non fa match con il certificato ma posso collegarmi comunque senza certificato e quindi senza crittografia e tra l'altro non compare il lucchetto in alto.

    sabato 1 gennaio 2011 22:06

Risposte

Tutte le risposte

  • Ti conviene implementare IPSEC su tutte le comunicazioni verso quel server.

    ciao.


    Edoardo Benussi - Microsoft® MVP
    Management Infrastructure - Systems Administration
    https://mvp.support.microsoft.com/Profile/Benussi
    Windows Server Italian Forum Moderator
    edo[at]mvps[dot]org
    domenica 2 gennaio 2011 10:26
    Moderatore
  • Altrimenti non c'è modo di imporre connessioni solo con certificati validi?
    domenica 2 gennaio 2011 11:27
  • Hai già impostato il livello di sicurezza dei "terminal services" su SSL / High come in questo articolo ?

    http://toastergremlin.com/?p=108

    Detto questo, l'errore sul "mismatch del certificato" è prevedibile (visto che collegandoti all'ip il server ti propone un certificato con un nome FQDN e non con un IP) , ma se tu accetti il certificato dovresti comunque avere una comunicazione criptata.


    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    domenica 2 gennaio 2011 19:52
  • Grazie Fabrizio ma le info di quell'articolo lo avevo gia implementato come dice mamma Microsoft tra l'altro ho visto con un analizzatore di pacchetti che comunque anche se non fa match il certificato con l'ip (giustamente) la connessione usa il protocollo tpkt che è crittografata, quindi penso possa andare bene così anche se prendo consiglio da Edoardo per implementare IPSEC che lo vedo più sicuro

    Grazie al solito a tutti e e due

    Buon anno

    domenica 2 gennaio 2011 22:04
  • A te e grazie per il feedback.
    Fabrizio Volpe
    MCSE (NT4)(2000)(2003) - MCSA (2003)
    MCTS (SQL 2005)(Exchange 2007)(Windows 2008)
    Fortinet Certified Network Security Professional (FCNSP)
    Fabrizio[_dot_]Volpe[_at_]GMX[_dot_]com
    lunedì 3 gennaio 2011 09:29