Поделиться через

Настройка проверки WebSocket для шлюза Центра Администратор Windows

  • Статья
  • Применяется к:
    ✅ Windows Admin Center, ✅ Windows Admin Center Preview

Чтобы защитить доступ WebSocket, подключение WebSocket теперь проверяет состояние источника из браузера, поэтому не любое внешнее приложение может получить доступ к API WebSocket, определенному в шлюзе.

Настройка проверки

Для настройки различных условий можно настроить проверку.

Пользователь может настроить параметр переопределения WebSocket в значении реестра Центра Администратор Windows, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverrideчтобы указать исключительное имя узла источника и порт источника. К ним относятся дикие карта имя, например "*.mydomain.mycompany.net" или ",* чтобы принять все. Wild карта необходимо указать одну форму, например "*." и не может сочетаться со сложным условием сопоставления строк, например "something*something".

Ниже приведен пример принятых форматов.

  • Всегда разрешает узел источника, определенный в текущем сертификате TLS. (имя субъекта, альтернативные DNS-имена)
  • Всегда разрешает порт источника, настроенный для Центра Администратор Windows
  • "*" — принимает любой узел источника и порт источника
  • "*:9876" — принимает любой узел источника и порт источника 9876
  • ":9876" — прием порта источника 9876
  • "*.my.domain.com" — примите узел <источника any.any.any...>. my.domain.com
  • "*.my.domain.com:9876" — принимает узел <источника any.any.any...>. my.domain.com и порт источника 9876

Логика предотвращения

Шлюз добавляет файл cookie сеанса (WAC-SESSION) для браузера пользователей. Он всегда связывает сеанс браузера и имя пользователя. Он предотвращает попытку другого пользователя использовать один и тот же сеанс браузера.

  • Когда пользовательский интерфейс запускает подключение WebSocket, браузер отправляет файл cookie сеанса обратно в шлюз.
  • Шлюз проверяет имя пользователя, прошедшее проверку подлинности, в соответствии с файлом cookie сеанса всегда.

Шлюз ищет заголовок источника, который является URL-адресом конечной точки, который был загружен исходный сайт Центра Администратор Windows.

  • Шлюз проверил узел источника и порт источника с текущими параметрами SSL-сертификата, включая список имен узлов DNS. Это сообщает, что код пользовательского интерфейса загружается из ожидаемых сайтов DNS-имен и портов.

Усовершенствование RDP

В tcp-подключении RDP шлюз позволяет использовать только порт 3389 (RDP) и порт 2179 (подключение к виртуальной машине), поэтому функцию пересылки TCP нельзя использовать для любой другой цели.

Возможный побочный эффект

Если пользователь использует Центр windows Администратор по IP-адресу или что-то не описанное в SSL-сертификате, пользователь не может получить доступ к WebSocket, так как он не доверяется. Если он требует поддержки, измените HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride значение реестра, чтобы задать IP-адрес или просто указать "*" для пропуска проверки.