各位好!通过上期的学习,我们实现了对远程桌面的加密和身份验证的连接,而在身份验证过程中我们采用的是Kerberos这种方式,这种身份验证方式只能应用在域环境里,但如果两端有一边没有加入域,那我们如何来保证身份验证呢?好,今天我们就来学习一下,如何通过另外两种身份验证的方式来保证安全性。

    身份验证的三种方式:
    1.Kerberos (适合于域环境)
    2.证书(需要搭建证书服务器)
    3.预共享密钥

    我们今天的环境如下图所示:N1还是DC,但Client并没有加入域。


我们今天实验的操作思路:(注意我并没改3389-->6689,若想改可参考上篇)
1.先在DC上创建一个IPSec策略,允许任何客户端(或一段子网或主机均可)来访问DC的3389端口,并要求保证数据完整性和加密,身份验证我们依次选择预共享密钥和证书。
2.开启DC的远程桌面功能。
3.在相应的客户端,如Client上创建同样的一个IPSec策略,可以访问DC的3389端口,并选择相对应的加密与身份验证方式。
4.分别指派这两个策略,测试即可。

一、身份验证方式:预共享密钥
注意:要求DC和Client两边必须采用相同的密钥。
1.服务器端配置如下:


单击上图中的编辑,如下图所示:并选择“使用此字符串(预共享密钥)”中输入共享密钥如haha!,单击确定,依次关掉所有对话框,最后,并指派该策略。




2.客户端的配置同于服务器端,此处就省了吧,呵呵~~
3.测试:

抓包后,如下图所示:加密传输


二、身份验证方式:证书

在这个环境里,我们需要搭建证书服务器(CA),并为两台计算机都要申请一个计算机证书,我们选择DC同时做CA服务器,但要在客户端安装CA的根证书。这样两台计算机上的计算机证书都是由同一个证书颁发机构颁发的,它们就会相互信任,我们就可以用该证书进行身份验证了。

下面我们一步步来操作:
(一)DC服务器上的操作:
步骤:
1.在DC上先安装IIS(因为我们要通过web方式允许客户端申请证书)
2.再安装CA(我们安装企业根CA)
3.为DC申请计算机证书,并安装。

好,我们开始吧!

打开DC的添加/删除程序(appwiz.cpl)--添加和删除Windows组件,如下图所示:

在“应用程序服务器”打勾,然后单击“下一步”,完成安装。然后再次运行appwiz.cpl,选择“证书服务”,再次单击“详细信息”,如下图所示:有WEB方式申请证书一项。注意,安装完证书服务后,这台计算机就不能再改名了。


单击上图中的确定,再单击下一步,如下图:我们选择“企业根CA”。

输入CA的公用名称,my root.其它可以不用修改。

有关证书数据库等位置,可以不用修改!

单击下一步,如下正在安装。

最后安装结束。

下面我们来为DC申请一个计算机证书。
打开IE,输入[url]http://10.1.1.5/certsrv[/url],如下所示:


出现如下图,单击“申请一个证书”。

如下图,我们选择“高级证书申请”。

再次选择“创建并向此CA提交一个申请”。


在下图中选择“系统管理员”,但一定要保存在计算机存储中,这样就是一个计算机证书了!


如下,提交即可。

由于我们是企业根CA,所以在默认下,会自动颁发证书,故,我们提交后稍等一会,就会出现如下所示,并“安装此证书”,这样DC的计算机证书就申请完了。


(二)客户端的操作:
在Client上的操作:
1.打开[url]http://10.1.1.5/certsrv[/url],下载并安装CA根证书。
2.利用WEB方式,申请计算机证书。

具体操作如下:
注意在出现用户名登录的对话框内,一定要输入一个域用户帐户信息。


选择“下载一个CA证书..”后,出现如下图所示:

单击“下载CA证书”,稍等一会,出来证书的下载界面,选择“保存”,并把该证书保存在桌面上。

接下来,我们要安装该CA的根证书了,你需要打开MMC,添加组件--证书(必须选择计算机帐户),如下图所示:

注意:选择“导入”后,找到刚才保存的证书,然后根据提示一路安装下去,就不用图示了吧~~,最后如下图所示:


好了,接下来,我们为客户端申请“计算机证书”,这个操作过程和刚才在DC上申请计算机证书一样。安完成最后的安装!

最后特别关键的一步:为DC和Client分别选择利用证书做身份验证。

如下图所示:


选择第二项,再单击“浏览”,如下所示,你就能看到my root这个根证书。

选择中,并单击“确定”,如下所示:


两边都做完以后,可以重新指派一下,然后在client上做一下测试,OK,如下所示:


哈哈,测试成功了!!!!
你还可以抓包来看一下,如下所示:


好了,终于把这个技术点讲完了,希望能给各位一些帮助。

小结:通过两次讲座,无非告诉各位,IPSec可以帮我们完成很多事情,我这个实例只不过是一个引子而已。那IPSec到底可以做那些事呢?

1.可以关机器的端口。
2.可以禁用机器的协议。
3.可以对数据的传输进行加密和保证其完整性。
4.可以对计算机身份进行验证。如可以实现网络的隔离。

总而言之,IPSec功能特别强大,在域内你可以对客户端统一部署,来达到网络的隔离的目的,我会在后期继续给各位对IPSec做更深入的介绍。