Mengkustomisasi validasi WebSocket untuk gateway Pusat Admin Windows
Untuk melindungi akses WebSocket, koneksi WebSocket sekarang akan memvalidasi status asal dari browser sehingga tidak ada aplikasi eksternal yang bisa mendapatkan akses API WebSocket yang ditentukan di gateway.
Kustomisasi validasi
Validasi dapat disesuaikan untuk menyesuaikan berbagai kondisi.
Pengguna dapat mengonfigurasi pengaturan penimpaan WebSocket pada nilai registri Pusat Admin Windows, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride
, untuk menentukan nama host asal dan port asal yang luar biasa. Ini termasuk nama kartubebas seperti "*.mydomain.mycompany.net
" atau hanya "*
" untuk menerima semua. Kartubebas harus ditentukan bentuk tunggal seperti "*.
" dan tidak dapat dikombinasikan dengan kondisi kecocokan string kompleks seperti "something*something
".
Contoh format yang diterima adalah sebagai berikut:
- Selalu izinkan host asal yang ditentukan pada sertifikat TLS saat ini. (nama subjek, nama DNS alternatif)
- Selalu izinkan port asal dikonfigurasi ke Pusat Admin Windows
- "
*
" - terima host asal dan port asal - "
*:9876
" - terima host asal dan port asal 9876 - "
:9876
" - terima port asal 9876 - "*
.my.domain.com
" - terima host <asal any.any.any...>. my.domain.com - "
*.my.domain.com:9876
" - terima host <asal any.any.any...>. my.domain.com dan port asal 9876
Logika pencegahan
Gateway menambahkan cookie sesi (WAC-SESSION) untuk browser pengguna. Ini selalu mengaitkan sesi browser dan nama pengguna. Ini mencegah pengguna yang berbeda mencoba menggunakan sesi browser yang sama.
- Saat UI memulai koneksi WebSocket, browser mengirim cookie sesi kembali ke Gateway.
- Gateway memvalidasi nama pengguna terautentikasi yang cocok dengan cookie sesi selalu.
Gateway mencari header asal, yang merupakan URL titik akhir tempat situs Pusat Admin Windows asli dimuat.
- Host asal dan port asal yang divalidasi gateway terhadap pengaturan sertifikat SSL saat ini yang menyertakan daftar nama host DNS. Ini memberi tahu kode UI dimuat dari situs dan port nama DNS yang diharapkan.
Peningkatan RDP
Pada koneksi TCP RDP, Gateway hanya memungkinkan untuk menggunakan port 3389 (RDP) dan port 2179 (koneksi VM), sehingga fitur penerusan TCP tidak dapat digunakan untuk tujuan lain.
Kemungkinan efek samping
Jika pengguna menggunakan Pusat Admin Windows dengan alamat IP atau sesuatu yang tidak dijelaskan pada sertifikat SSL, pengguna tidak dapat mengakses WebSocket karena tidak dapat dipercaya. Jika perlu mendukung, ubah HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride
nilai registri untuk mengatur alamat IP atau cukup tentukan "*
" untuk mengabaikan validasi.