Mengkustomisasi validasi WebSocket untuk gateway Pusat Admin Windows

  • Artikel

Untuk melindungi akses WebSocket, koneksi WebSocket sekarang akan memvalidasi status asal dari browser sehingga tidak ada aplikasi eksternal yang bisa mendapatkan akses API WebSocket yang ditentukan di gateway.

Kustomisasi validasi

Validasi dapat disesuaikan untuk menyesuaikan berbagai kondisi.

Pengguna dapat mengonfigurasi pengaturan penimpaan WebSocket pada nilai registri Pusat Admin Windows, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride, untuk menentukan nama host asal dan port asal yang luar biasa. Ini termasuk nama kartubebas seperti "*.mydomain.mycompany.net" atau hanya "*" untuk menerima semua. Kartubebas harus ditentukan bentuk tunggal seperti "*." dan tidak dapat dikombinasikan dengan kondisi kecocokan string kompleks seperti "something*something".

Contoh format yang diterima adalah sebagai berikut:

  • Selalu izinkan host asal yang ditentukan pada sertifikat TLS saat ini. (nama subjek, nama DNS alternatif)
  • Selalu izinkan port asal dikonfigurasi ke Pusat Admin Windows
  • "*" - terima host asal dan port asal
  • "*:9876" - terima host asal dan port asal 9876
  • ":9876" - terima port asal 9876
  • "*.my.domain.com" - terima host <asal any.any.any...>. my.domain.com
  • "*.my.domain.com:9876" - terima host <asal any.any.any...>. my.domain.com dan port asal 9876

Logika pencegahan

Gateway menambahkan cookie sesi (WAC-SESSION) untuk browser pengguna. Ini selalu mengaitkan sesi browser dan nama pengguna. Ini mencegah pengguna yang berbeda mencoba menggunakan sesi browser yang sama.

  • Saat UI memulai koneksi WebSocket, browser mengirim cookie sesi kembali ke Gateway.
  • Gateway memvalidasi nama pengguna terautentikasi yang cocok dengan cookie sesi selalu.

Gateway mencari header asal, yang merupakan URL titik akhir tempat situs Pusat Admin Windows asli dimuat.

  • Host asal dan port asal yang divalidasi gateway terhadap pengaturan sertifikat SSL saat ini yang menyertakan daftar nama host DNS. Ini memberi tahu kode UI dimuat dari situs dan port nama DNS yang diharapkan.

Peningkatan RDP

Pada koneksi TCP RDP, Gateway hanya memungkinkan untuk menggunakan port 3389 (RDP) dan port 2179 (koneksi VM), sehingga fitur penerusan TCP tidak dapat digunakan untuk tujuan lain.

Kemungkinan efek samping

Jika pengguna menggunakan Pusat Admin Windows dengan alamat IP atau sesuatu yang tidak dijelaskan pada sertifikat SSL, pengguna tidak dapat mengakses WebSocket karena tidak dapat dipercaya. Jika perlu mendukung, ubah HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride nilai registri untuk mengatur alamat IP atau cukup tentukan "*" untuk mengabaikan validasi.