Personalizzare la convalida WebSocket per il gateway Windows Admin Center
Per proteggere l'accesso WebSocket, la connessione WebSocket ora convaliderà lo stato di origine dal browser in modo che non tutte le applicazioni esterne possano accedere all'API WebSocket definita nel gateway.
Personalizzazione della convalida
La convalida può essere modificata per poter personalizzare varie condizioni.
L'utente può configurare l'impostazione di override di WebSocket in un valore del registro di sistema di Windows Admin Center, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride, per specificare nome, host e porta di origine eccezionali. Questo include il nome con caratteri jolly, ad esempio "*.mydomain.mycompany.net" o semplicemente "*" per accettare tutto. Il carattere jolly deve essere specificato in formato singolo, come "*." e non può essere combinato con una condizione di corrispondenza di stringa complessa come "something*something".
Di seguito è riportato un esempio di formati accettati:
- Consente sempre l'host di origine definito nel certificato TLS corrente. (nome soggetto, nomi DNS alternativi)
- Consente sempre la porta di origine configurata in Windows Admin Center
- "
*" - accetta qualsiasi porta di origine e host di origine - "
*:9876" - accetta qualsiasi porta di origine e host di origine 9876 - "
:9876" - accettare la porta di origine 9876 - "*
.my.domain.com" - accetta l'host <di origine any.any.any...>. my.domain.com - "
*.my.domain.com:9876" - accetta l'host di <origine any.any.any...>. my.domain.com e la porta di origine 9876
Logica di prevenzione
Il gateway aggiunge un cookie di sessione (WAC-edizione Standard SSION) per il browser utente. Associa sempre la sessione del browser e il nome utente. Impedisce a utenti diversi di provare a usare la stessa sessione del browser.
- Quando l'interfaccia utente avvia una connessione WebSocket, il browser invia di nuovo il cookie di sessione al gateway.
- Il gateway convalida sempre il nome utente autenticato corrispondente al cookie di sessione.
Il gateway cerca l'intestazione di origine, ovvero l'URL dell'endpoint caricato nel sito originale di Windows Admin Center.
- Il gateway ha convalidato l'host di origine e la porta di origine rispetto alle impostazioni correnti del certificato SSL che include l'elenco di nomi host DNS. Questo indica che il codice dell'interfaccia utente viene caricato dai siti e dalle porte dei nomi DNS previsti.
Miglioramento RDP
Nella connessione TCP RDP, il gateway consente solo di usare la porta 3389 (RDP) e la porta 2179 (connessione VM), quindi, la funzionalità di inoltro TCP non può essere usata per altri scopi.
Possibile effetto collaterale
Se l'utente usa Windows Admin Center per indirizzo IP o qualcosa che non è descritto nel certificato SSL, non può accedere a WebSocket perché non attendibile. Se è necessario un supporto, modificare HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride il valore del registro di sistema per impostare l'indirizzo IP o semplicemente specificare "*" per ignorare la convalida.