ใบรับรองเซิร์ฟเวอร์ RDP ของฉันถูกเก็บไว้ที่ไหน?

23

จากการโจมตีของ Man-in-the-Middle เมื่อเร็ว ๆ นี้ฉันให้ความสนใจกับคำเตือนที่ฉันได้รับเมื่อเชื่อมต่อกับเซิร์ฟเวอร์:

ป้อนคำอธิบายรูปภาพที่นี่

เลือกดูใบรับรองฉันจะตรวจสอบSHA1 รหัสประจำตัว :

ออกให้ : corsair
ออกโดย : corsair
เริ่มวันที่ : 9/5/2013 ถึง 3/7/2014
Thumbprint (SHA1):‎e9 c5 d7 17 95 95 fd ba 09 88 37 d8 9f 49 5e b8 02 ac 2b e2

และตรวจสอบให้แน่ใจว่าตรงกับอะไรบนเซิร์ฟเวอร์ ฉันเชื่อมต่อแล้วใช้certmgr.mscค้นหาใบรับรอง (เช่น"ออกให้กับโจรสลัด" ):

ป้อนคำอธิบายรูปภาพที่นี่

มีเพียงคนเดียวในเครื่อง แต่เดี๋ยวก่อนนั่นไม่ใช่กุญแจสำคัญเดียวกัน:

ป้อนคำอธิบายรูปภาพที่นี่

ใบรับรองที่ฉันแสดงผ่าน RDP นั้นแตกต่างจากใบรับรองบนเซิร์ฟเวอร์:

ออกให้ : corsair
ออกโดย : corsair
ใช้ได้ตั้งแต่ : 4/6/2013 ถึง 8/7/3012
Thumbprint (SHA1):‎c5 b4 12 0d f6 4f b3 e7 a8 59 cd 4d e4 0e cb 5b 18 a1 42 92

ทั้งที่มีอยู่แล้วเป็น Man-in-the-กลางแทนใบรับรองปลอมสำหรับการเชื่อมต่อ RDP หรือใบรับรองถูกนำเสนอโดยเซิร์ฟเวอร์ RDP certmgr.mscไม่ได้อยู่ในที่มองเห็นได้

สมมติว่าฉันไม่มี CSIS ตรวจสอบ LAN ของฉัน (ไม่ใช่โดเมน): ฉันจะหาใบรับรองที่ RDP จะนำเสนอให้กับลูกค้าที่เชื่อมต่อได้อย่างไร

เซิร์ฟเวอร์: มาตรฐาน Windows Server 2012

หมายเหตุ : สามารถใช้ได้กับ Windows 8 และสามารถใช้ได้กับ Windows 7 และก่อนหน้านี้และ Windows Server 2008 R2 และก่อนหน้านี้ เพราะถึงตอนนี้ฉันกำลังเชื่อมต่อกับเซิร์ฟเวอร์ ฉันยังเชื่อมต่อกับพีซีเดสก์ท็อป Windows 7 ของฉันจากอินเทอร์เน็ต - และฉันต้องการตรวจสอบว่าฉันเห็นเดสก์ท็อปจริงของฉัน

คำสำคัญ : ฉันจะเปลี่ยนใบรับรอง SSL ของ Windows 8 Remote Desktop Connection ได้อย่างไร? ฉันจะระบุใบรับรองเดสก์ท็อประยะไกลได้อย่างไร

security  remote-desktop  certificate  windows-server-2012 
Ian Boyd
แหล่งที่มา
1. คุณใช้เซิร์ฟเวอร์ CA โดเมนของคุณเองเพื่อสร้างใบรับรอง SSL หรือคุณได้รับ SSL จากหน่วยงานผู้ออกใบรับรองเช่น Verisign หรือไม่ 2. ใบรับรองที่คุณแสดงในรูปที่ 6mB6G.png จากไคลเอนต์หรือเซิร์ฟเวอร์หรือไม่?
Sam Stephenson
1
@ SamStephenson มันอยู่บนเซิร์ฟเวอร์ ไม่ว่าจะเป็นใบรับรองอะไรก็ตามที่เซิร์ฟเวอร์ตัดสินใจสร้างเพื่อให้ฉันอยู่ห่างไกล ฉันไม่ได้สร้างมันขอให้สร้างมันขอให้คนอื่นสร้างมันหรือให้คนอื่นสร้างมันขึ้นมา i RDP ไปยังเซิร์ฟเวอร์และคำเตือนจะปรากฏขึ้น
Ian Boyd

คำตอบ:

27

ใน Windows 10

  1. ค้นหาcertlm.mscใน Start Menu หรือใช้+Windows keyR
  2. คลิกที่'Remote Desktop'โฟลเดอร์และจากนั้นใน'ใบรับรอง' คุณจะพบใบรับรองที่คอมพิวเตอร์นี้นำเสนอให้กับไคลเอนต์ RDP

ใน Windows 7

  1. เรียกใช้mmc.exe(ในฐานะผู้ดูแลระบบ)
  2. 'File' -> 'Add / Remove Snap-in ...
  3. เลือก'ใบรับรอง'ใน'ที่มีจำหน่ายสแนปอิน'รายการและคลิก'เพิ่ม>'
  4. หน้าต่างใหม่ชื่อ 'ใบรับรอง Snap-in' จะปรากฏขึ้นซึ่งคุณสามารถเลือกได้จาก 'บัญชีผู้ใช้ของฉัน', 'บัญชีบริการ' และ 'บัญชีคอมพิวเตอร์' เลือก 'บัญชีคอมพิวเตอร์' คลิก 'ถัดไป' จากนั้น 'เสร็จสิ้น' และสุดท้าย 'ตกลง'
  5. ภายใต้โฟลเดอร์ 'คอนโซลรูท' ตอนนี้คุณมี 'ใบรับรอง (เครื่องคอมพิวเตอร์)'
  6. คลิกที่'Remote Desktop'โฟลเดอร์และจากนั้นใน'ใบรับรอง' คุณจะพบใบรับรองที่คอมพิวเตอร์นี้นำเสนอให้กับไคลเอนต์ RDP

จากนั้นคุณสามารถบันทึกมุมมองคอนโซลนี้เพื่อให้เข้าถึงได้ง่ายภายใต้ 'ไฟล์' -> 'บันทึก'

2072
แหล่งที่มา
โฟลเดอร์ REMOTE DESKTOP ฉันไม่เคยเห็นมาก่อน! ฉันดูเป็นส่วนตัวอยู่เรื่อย ๆ และนั่นคือสาเหตุที่ฉันหามันไม่เจอ จับดี!
Mister_Tom
ขอบคุณทำงานได้อย่างสมบูรณ์แบบสำหรับฉัน :) เพียงแค่ว่าลายนิ้วมือในหน้าต่างใบรับรองนั้นมีตัวเลข 2 หลักในตอนเริ่มต้น ... แปลก ๆ ~
Tarulia
ยอดเยี่ยม ไม่ได้สังเกตว่าcertmgr.mscจะแสดงเฉพาะใบรับรองสำหรับผู้ใช้ปัจจุบันแม้ว่าจะทำงานเป็นผู้ดูแลระบบก็ตาม
Franklin Yu
2
วินโดวส์ 10 C:\Windows\System32\certlm.mscดูเหมือนว่าจะมาพร้อมกับทางลัด เนื่องจากSystem32อยู่ใน$PATHเราก็สามารถค้นหาcertlm.mscในเมนูเริ่ม
Franklin Yu
ขอขอบคุณฉันได้แก้ไขคำตอบของคุณด้วยวิธีแก้ปัญหาของคุณ
2072
3

นี่คือคำตอบที่นี่ :

มัน ( บริการการกำหนดค่าเดสก์ท็อประยะไกล ) [... ] สร้างใบรับรอง การทำเช่นนี้จะสร้างข้อความบันทึกเหตุการณ์:

Log Name:     System
Source:       Microsoft-Windows-TerminalServices-RemoteConnectionManager 
....
Description: A new self signed certificate to be used for Terminal Server 
authentication on SSL connections was generated. The name on this certificate
is servername.domain.com . The SHA1 hash of the certificate is in the event
data.

ไปeventvwr.mscดูเหตุการณ์โดยTerminalServices-RemoteConnectionManagerในSystemและคุณจะได้รับทุกครั้งที่แตกต่างกันเมื่อบริการ RDP (ใหม่) ที่สร้างคีย์เซิร์ฟเวอร์ของตนพร้อมกับ SHA-1 กัญชาของแต่ละคีย์

แดน
แหล่งที่มา
1
แปลกที่ Microsoft จะซ่อนข้อมูลที่เป็นประโยชน์ไว้ในการเข้าสู่ระบบดังนั้นขอขอบคุณที่แบ่งปันกับเราที่เหลือ บนเครื่อง Windows 7 ของฉันชื่อที่คุณต้องการกรองเหตุการณ์ด้วยคือ "TerminalServices-RemoteConnectionManager" หากคุณลบรายการบันทึกเหตุการณ์นั้นแล้วคุณสามารถเปลี่ยนชื่อเครื่องเพื่อบังคับให้ออกใบรับรองใหม่และข้อความบันทึกเหตุการณ์
Ed Norris
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.