国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

安全系列之二：如何利用IPSec(證書)保證遠程桌面的安全性?。ㄏ拢?nbsp;http://jary3000.blog.51cto.com/610705/125317版權(quán)聲明：原創(chuàng)作品，如需轉(zhuǎn)載，請與作者聯(lián)系。否則將追究法律責任。各位好！通過上期的學習，我們實現(xiàn)了對遠程桌面的加密和身份驗證的連接，而在身份驗證過程中我們采用的是Kerberos這種方式，這種身份驗證方式只能應用在域環(huán)境里，但如果兩端有一邊沒有加入域，那我們?nèi)绾蝸肀ＷC身份驗證呢？好，今天我們就來學習一下，如何通過另外兩種身份驗證的方式來保證安全性。身份驗證的三種方式：1.Kerberos （適合于域環(huán)境）2.證書（需要搭建證書服務器）3.預共享密鑰我們今天的環(huán)境如下圖所示：N1還是DC，但Client并沒有加入域。我們今天實驗的操作思路：（注意我并沒改3389-->6689，若想改可參考上篇）1.先在DC上創(chuàng)建一個IPSec策略，允許任何客戶端（或一段子網(wǎng)或主機均可）來訪問DC的3389端口，并要求保證數(shù)據(jù)完整性和加密，身份驗證我們依次選擇預共享密鑰和證書。2.開啟DC的遠程桌面功能。3.在相應的客戶端，如Client上創(chuàng)建同樣的一個IPSec策略，可以訪問DC的3389端口，并選擇相對應的加密與身份驗證方式。4.分別指派這兩個策略，測試即可。一、身份驗證方式：預共享密鑰注意：要求DC和Client兩邊必須采用相同的密鑰。1.服務器端配置如下：單擊上圖中的編輯，如下圖所示：并選擇“使用此字符串（預共享密鑰）”中輸入共享密鑰如haha!,單擊確定，依次關掉所有對話框，最后，并指派該策略。2.客戶端的配置同于服務器端，此處就省了吧，呵呵~~3.測試：抓包后，如下圖所示:加密傳輸二、身份驗證方式：證書在這個環(huán)境里，我們需要搭建證書服務器（CA），并為兩臺計算機都要申請一個計算機證書，我們選擇DC同時做CA服務器，但要在客戶端安裝CA的根證書。這樣兩臺計算機上的計算機證書都是由同一個證書頒發(fā)機構(gòu)頒發(fā)的，它們就會相互信任，我們就可以用該證書進行身份驗證了。下面我們一步步來操作：（一）DC服務器上的操作：步驟：1.在DC上先安裝IIS（因為我們要通過web方式允許客戶端申請證書）2.再安裝CA（我們安裝企業(yè)根CA）3.為DC申請計算機證書，并安裝。好，我們開始吧！打開DC的添加/刪除程序（appwiz.cpl)--添加和刪除Windows組件，如下圖所示：在“應用程序服務器”打勾，然后單擊“下一步”，完成安裝。然后再次運行appwiz.cpl，選擇“證書服務”，再次單擊“詳細信息”，如下圖所示：有WEB方式申請證書一項。注意，安裝完證書服務后，這臺計算機就不能再改名了。單擊上圖中的確定，再單擊下一步，如下圖：我們選擇“企業(yè)根CA”。輸入CA的公用名稱，my root.其它可以不用修改。有關證書數(shù)據(jù)庫等位置，可以不用修改！單擊下一步，如下正在安裝。最后安裝結(jié)束。下面我們來為DC申請一個計算機證書。打開IE，輸入[url]http://10.1.1.5/certsrv[/url]，如下所示：出現(xiàn)如下圖，單擊“申請一個證書”。如下圖，我們選擇“高級證書申請”。再次選擇“創(chuàng)建并向此CA提交一個申請”。在下圖中選擇“系統(tǒng)管理員”，但一定要保存在計算機存儲中，這樣就是一個計算機證書了！如下，提交即可。由于我們是企業(yè)根CA，所以在默認下，會自動頒發(fā)證書，故，我們提交后稍等一會，就會出現(xiàn)如下所示，并“安裝此證書”，這樣DC的計算機證書就申請完了。（二）客戶端的操作：在Client上的操作：1.打開[url]http://10.1.1.5/certsrv[/url]，下載并安裝CA根證書。2.利用WEB方式，申請計算機證書。具體操作如下：注意在出現(xiàn)用戶名登錄的對話框內(nèi)，一定要輸入一個域用戶帳戶信息。選擇“下載一個CA證書..”后，出現(xiàn)如下圖所示：單擊“下載CA證書”，稍等一會，出來證書的下載界面，選擇“保存”，并把該證書保存在桌面上。接下來，我們要安裝該CA的根證書了，你需要打開MMC，添加組件--證書（必須選擇計算機帳戶），如下圖所示：注意：選擇“導入”后，找到剛才保存的證書，然后根據(jù)提示一路安裝下去，就不用圖示了吧~~，最后如下圖所示：好了，接下來，我們?yōu)榭蛻舳松暾?#8220;計算機證書”，這個操作過程和剛才在DC上申請計算機證書一樣。安完成最后的安裝！最后特別關鍵的一步：為DC和Client分別選擇利用證書做身份驗證。如下圖所示：選擇第二項，再單擊“瀏覽”，如下所示，你就能看到my root這個根證書。選擇中，并單擊“確定”，如下所示：兩邊都做完以后，可以重新指派一下，然后在client上做一下測試，OK，如下所示：哈哈，測試成功了?。。?！你還可以抓包來看一下，如下所示：好了，終于把這個技術點講完了，希望能給各位一些幫助。小結(jié)：通過兩次講座，無非告訴各位，IPSec可以幫我們完成很多事情，我這個實例只不過是一個引子而已。那IPSec到底可以做那些事呢？1.可以關機器的端口。2.可以禁用機器的協(xié)議。3.可以對數(shù)據(jù)的傳輸進行加密和保證其完整性。4.可以對計算機身份進行驗證。如可以實現(xiàn)網(wǎng)絡的隔離。總而言之，IPSec功能特別強大，在域內(nèi)你可以對客戶端統(tǒng)一部署，來達到網(wǎng)絡的隔離的目的，我會在后期繼續(xù)給各位對IPSec做更深入的介紹。本文出自 “千山島主之微軟技術空間站” 博客，轉(zhuǎn)載請與作者聯(lián)系！本文出自 51CTO.COM技術博客