中财网大学生悬疑微电影剧本:安全系列之二:如何利用IPSec(证书)保证远程桌面的安全性!(下)
来源:百度文库 编辑:中财网 时间:2024/04/29 07:41:46
安全系列之二:如何利用IPSec(证书)保证远程桌面的安全性!(下) http://jary3000.blog.51cto.com/610705/125317
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。
各位好!通过上期的学习,我们实现了对远程桌面的加密和身份验证的连接,而在身份验证过程中我们采用的是Kerberos这种方式,这种身份验证方式只能应用在域环境里,但如果两端有一边没有加入域,那我们如何来保证身份验证呢?好,今天我们就来学习一下,如何通过另外两种身份验证的方式来保证安全性。
身份验证的三种方式:
1.Kerberos (适合于域环境)
2.证书(需要搭建证书服务器)
3.预共享密钥
我们今天的环境如下图所示:N1还是DC,但Client并没有加入域。
我们今天实验的操作思路:(注意我并没改3389-->6689,若想改可参考上篇)
1.先在DC上创建一个IPSec策略,允许任何客户端(或一段子网或主机均可)来访问DC的3389端口,并要求保证数据完整性和加密,身份验证我们依次选择预共享密钥和证书。
2.开启DC的远程桌面功能。
3.在相应的客户端,如Client上创建同样的一个IPSec策略,可以访问DC的3389端口,并选择相对应的加密与身份验证方式。
4.分别指派这两个策略,测试即可。
一、身份验证方式:预共享密钥
注意:要求DC和Client两边必须采用相同的密钥。
1.服务器端配置如下:
单击上图中的编辑,如下图所示:并选择“使用此字符串(预共享密钥)”中输入共享密钥如haha!,单击确定,依次关掉所有对话框,最后,并指派该策略。
2.客户端的配置同于服务器端,此处就省了吧,呵呵~~
3.测试:
抓包后,如下图所示:加密传输
二、身份验证方式:证书
在这个环境里,我们需要搭建证书服务器(CA),并为两台计算机都要申请一个计算机证书,我们选择DC同时做CA服务器,但要在客户端安装CA的根证书。这样两台计算机上的计算机证书都是由同一个证书颁发机构颁发的,它们就会相互信任,我们就可以用该证书进行身份验证了。
下面我们一步步来操作:
(一)DC服务器上的操作:
步骤:
1.在DC上先安装IIS(因为我们要通过web方式允许客户端申请证书)
2.再安装CA(我们安装企业根CA)
3.为DC申请计算机证书,并安装。
好,我们开始吧!
打开DC的添加/删除程序(appwiz.cpl)--添加和删除Windows组件,如下图所示:
在“应用程序服务器”打勾,然后单击“下一步”,完成安装。然后再次运行appwiz.cpl,选择“证书服务”,再次单击“详细信息”,如下图所示:有WEB方式申请证书一项。注意,安装完证书服务后,这台计算机就不能再改名了。
单击上图中的确定,再单击下一步,如下图:我们选择“企业根CA”。
输入CA的公用名称,my root.其它可以不用修改。
有关证书数据库等位置,可以不用修改!
单击下一步,如下正在安装。
最后安装结束。
下面我们来为DC申请一个计算机证书。
打开IE,输入[url]http://10.1.1.5/certsrv[/url],如下所示:
出现如下图,单击“申请一个证书”。
如下图,我们选择“高级证书申请”。
再次选择“创建并向此CA提交一个申请”。
在下图中选择“系统管理员”,但一定要保存在计算机存储中,这样就是一个计算机证书了!
如下,提交即可。
由于我们是企业根CA,所以在默认下,会自动颁发证书,故,我们提交后稍等一会,就会出现如下所示,并“安装此证书”,这样DC的计算机证书就申请完了。
(二)客户端的操作:
在Client上的操作:
1.打开[url]http://10.1.1.5/certsrv[/url],下载并安装CA根证书。
2.利用WEB方式,申请计算机证书。
具体操作如下:
注意在出现用户名登录的对话框内,一定要输入一个域用户帐户信息。
选择“下载一个CA证书..”后,出现如下图所示:
单击“下载CA证书”,稍等一会,出来证书的下载界面,选择“保存”,并把该证书保存在桌面上。
接下来,我们要安装该CA的根证书了,你需要打开MMC,添加组件--证书(必须选择计算机帐户),如下图所示:
注意:选择“导入”后,找到刚才保存的证书,然后根据提示一路安装下去,就不用图示了吧~~,最后如下图所示:
好了,接下来,我们为客户端申请“计算机证书”,这个操作过程和刚才在DC上申请计算机证书一样。安完成最后的安装!
最后特别关键的一步:为DC和Client分别选择利用证书做身份验证。
如下图所示:
选择第二项,再单击“浏览”,如下所示,你就能看到my root这个根证书。
选择中,并单击“确定”,如下所示:
两边都做完以后,可以重新指派一下,然后在client上做一下测试,OK,如下所示:
哈哈,测试成功了!!!!
你还可以抓包来看一下,如下所示:
好了,终于把这个技术点讲完了,希望能给各位一些帮助。
小结:通过两次讲座,无非告诉各位,IPSec可以帮我们完成很多事情,我这个实例只不过是一个引子而已。那IPSec到底可以做那些事呢?
1.可以关机器的端口。
2.可以禁用机器的协议。
3.可以对数据的传输进行加密和保证其完整性。
4.可以对计算机身份进行验证。如可以实现网络的隔离。
总而言之,IPSec功能特别强大,在域内你可以对客户端统一部署,来达到网络的隔离的目的,我会在后期继续给各位对IPSec做更深入的介绍。
本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
本文出自 51CTO.COM技术博客
版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。
各位好!通过上期的学习,我们实现了对远程桌面的加密和身份验证的连接,而在身份验证过程中我们采用的是Kerberos这种方式,这种身份验证方式只能应用在域环境里,但如果两端有一边没有加入域,那我们如何来保证身份验证呢?好,今天我们就来学习一下,如何通过另外两种身份验证的方式来保证安全性。
身份验证的三种方式:
1.Kerberos (适合于域环境)
2.证书(需要搭建证书服务器)
3.预共享密钥
我们今天的环境如下图所示:N1还是DC,但Client并没有加入域。
我们今天实验的操作思路:(注意我并没改3389-->6689,若想改可参考上篇)
1.先在DC上创建一个IPSec策略,允许任何客户端(或一段子网或主机均可)来访问DC的3389端口,并要求保证数据完整性和加密,身份验证我们依次选择预共享密钥和证书。
2.开启DC的远程桌面功能。
3.在相应的客户端,如Client上创建同样的一个IPSec策略,可以访问DC的3389端口,并选择相对应的加密与身份验证方式。
4.分别指派这两个策略,测试即可。
一、身份验证方式:预共享密钥
注意:要求DC和Client两边必须采用相同的密钥。
1.服务器端配置如下:
单击上图中的编辑,如下图所示:并选择“使用此字符串(预共享密钥)”中输入共享密钥如haha!,单击确定,依次关掉所有对话框,最后,并指派该策略。
2.客户端的配置同于服务器端,此处就省了吧,呵呵~~
3.测试:
抓包后,如下图所示:加密传输
二、身份验证方式:证书
在这个环境里,我们需要搭建证书服务器(CA),并为两台计算机都要申请一个计算机证书,我们选择DC同时做CA服务器,但要在客户端安装CA的根证书。这样两台计算机上的计算机证书都是由同一个证书颁发机构颁发的,它们就会相互信任,我们就可以用该证书进行身份验证了。
下面我们一步步来操作:
(一)DC服务器上的操作:
步骤:
1.在DC上先安装IIS(因为我们要通过web方式允许客户端申请证书)
2.再安装CA(我们安装企业根CA)
3.为DC申请计算机证书,并安装。
好,我们开始吧!
打开DC的添加/删除程序(appwiz.cpl)--添加和删除Windows组件,如下图所示:
在“应用程序服务器”打勾,然后单击“下一步”,完成安装。然后再次运行appwiz.cpl,选择“证书服务”,再次单击“详细信息”,如下图所示:有WEB方式申请证书一项。注意,安装完证书服务后,这台计算机就不能再改名了。
单击上图中的确定,再单击下一步,如下图:我们选择“企业根CA”。
输入CA的公用名称,my root.其它可以不用修改。
有关证书数据库等位置,可以不用修改!
单击下一步,如下正在安装。
最后安装结束。
下面我们来为DC申请一个计算机证书。
打开IE,输入[url]http://10.1.1.5/certsrv[/url],如下所示:
出现如下图,单击“申请一个证书”。
如下图,我们选择“高级证书申请”。
再次选择“创建并向此CA提交一个申请”。
在下图中选择“系统管理员”,但一定要保存在计算机存储中,这样就是一个计算机证书了!
如下,提交即可。
由于我们是企业根CA,所以在默认下,会自动颁发证书,故,我们提交后稍等一会,就会出现如下所示,并“安装此证书”,这样DC的计算机证书就申请完了。
(二)客户端的操作:
在Client上的操作:
1.打开[url]http://10.1.1.5/certsrv[/url],下载并安装CA根证书。
2.利用WEB方式,申请计算机证书。
具体操作如下:
注意在出现用户名登录的对话框内,一定要输入一个域用户帐户信息。
选择“下载一个CA证书..”后,出现如下图所示:
单击“下载CA证书”,稍等一会,出来证书的下载界面,选择“保存”,并把该证书保存在桌面上。
接下来,我们要安装该CA的根证书了,你需要打开MMC,添加组件--证书(必须选择计算机帐户),如下图所示:
注意:选择“导入”后,找到刚才保存的证书,然后根据提示一路安装下去,就不用图示了吧~~,最后如下图所示:
好了,接下来,我们为客户端申请“计算机证书”,这个操作过程和刚才在DC上申请计算机证书一样。安完成最后的安装!
最后特别关键的一步:为DC和Client分别选择利用证书做身份验证。
如下图所示:
选择第二项,再单击“浏览”,如下所示,你就能看到my root这个根证书。
选择中,并单击“确定”,如下所示:
两边都做完以后,可以重新指派一下,然后在client上做一下测试,OK,如下所示:
哈哈,测试成功了!!!!
你还可以抓包来看一下,如下所示:
好了,终于把这个技术点讲完了,希望能给各位一些帮助。
小结:通过两次讲座,无非告诉各位,IPSec可以帮我们完成很多事情,我这个实例只不过是一个引子而已。那IPSec到底可以做那些事呢?
1.可以关机器的端口。
2.可以禁用机器的协议。
3.可以对数据的传输进行加密和保证其完整性。
4.可以对计算机身份进行验证。如可以实现网络的隔离。
总而言之,IPSec功能特别强大,在域内你可以对客户端统一部署,来达到网络的隔离的目的,我会在后期继续给各位对IPSec做更深入的介绍。
本文出自 “千山岛主之微软技术空间站” 博客,转载请与作者联系!
本文出自 51CTO.COM技术博客
【杀人案件】系列之二
如何打开IPSEC文件
翻译句子系列之二:
我想换显卡(系列之二)
浪客系列问题之二
如何获得自己的安全证书?
如何重新申请建行的安全证书
安全证书
如何清除ipsec(msdc32)木马?
ipsec(msdc32)木马到底要如何清楚??????
如何卸载支付宝的安全证书/安全控件?
乐百氏的脉动系列饮料之质量安全QS标志
SIMS系列资料片之二《美好生活(Livin' Large)》
如何利用数字签名技术来实现网上交易的安全
请问如何在安全模式下利用杀毒软件消灭病毒
请问安全证书过期后DRM组件如何升级?
如何获得个人安全证书啊??完全搞不懂
饶雪漫的《左耳》是系列之三,那之二和之一分别是什么呢?
安全证书怎样备份?
安全证书下载
IE安全证书
什么是安全证书
IPSEC是什么意思?
十大动漫系列之二:你最喜欢的十部漫画是什么?