Personnaliser la validation WebSocket pour la passerelle Windows Admin Center
Pour protéger l’accès WebSocket, la connexion WebSocket valide désormais l’état d’origine à partir du navigateur afin qu’aucune application externe ne puisse accéder à l’API WebSocket définie sur la passerelle.
Personnalisation de la validation
La validation peut être ajustée pour personnaliser différentes conditions.
L’utilisateur peut configurer le paramètre de remplacement WebSocket sur une valeur de registre Windows Admin Center, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride, pour spécifier le nom d’hôte d’origine et le port d’origine exceptionnels. Cela inclut des noms génériques tels que « *.mydomain.mycompany.net » ou simplement « * » pour tout accepter. Le caractère générique doit être spécifié sous une forme unique comme « *. » et ne peut pas être combiné avec une condition de correspondance de chaîne complexe telle que « something*something ».
Les exemples de formats acceptés sont les suivants :
- Autorise toujours l’hôte d’origine défini sur le certificat TLS actuel. (nom de l’objet, autres noms DNS)
- Autorise toujours le port d’origine configuré pour Windows Admin Center
- «
*» : accepter n’importe quel hôte d’origine et port d’origine - «
*:9876» : accepter n’importe quel hôte d’origine et port d’origine 9876 - «
:9876» - accepter le port d’origine 9876 - « *
.my.domain.com» - accepter l’hôte d’origine <any.any.any...>. my.domain.com - « *
*.my.domain.com:9876» - accepter l’hôte d’origine <any.any.any...>. my.domain.com et le port d’origine 9876
Logique de prévention
La passerelle ajoute un cookie de session (WAC-SESSION) pour le navigateur utilisateur. Elle associe toujours la session du navigateur et le nom d’utilisateur. Elle empêche différents utilisateurs d’utiliser la même session de navigateur.
- Lorsque l’interface utilisateur démarre une connexion WebSocket, le navigateur envoie le cookie de session à la passerelle.
- La passerelle valide toujours le nom d’utilisateur authentifié avec le cookie de session.
La passerelle recherche l’en-tête d’origine, c’est-à-dire l’URL du point de terminaison où le site original du Windows Admin Center a été chargé.
- La passerelle a validé l’hôte d’origine et le port d’origine par rapport aux paramètres de certificat SSL actuels, qui incluent la liste des noms d’hôtes DNS. Cela indique que le code d’interface utilisateur est chargé à partir de sites et de ports de noms DNS attendus.
Amélioration RDP
Sur la connexion TCP RDP, la passerelle autorise uniquement l’utilisation du port 3389 (RDP) et du port 2179 (connexion de machine virtuelle), de sorte que la fonctionnalité de transfert TCP ne peut pas être utilisée à d’autres fins.
Effet secondaire possible
Si l’utilisateur utilise Windows Admin Center par adresse IP ou quelque chose qui n’est pas décrit sur le certificat SSL, l’utilisateur ne peut pas accéder à WebSocket, car il n’est pas fiable. S’il doit prendre en charge, modifiez la valeur du Registre HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride pour définir l’adresse IP ou spécifiez simplement « * » pour ignorer la validation.