Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Om WebSocket-toegang te beveiligen, valideert de WebSocket-verbinding nu de oorsprongsstatus van de browser, zodat geen enkele externe toepassing toegang kan krijgen tot de WebSocket-API die is gedefinieerd op de gateway.
Aanpassing van validatie
Validatie kan worden aangepast om verschillende voorwaarden aan te passen.
Gebruiker kan de instelling voor het overschrijven van WebSocket configureren op een registerwaarde van het Windows-beheercentrum, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverrideom de naam van de uitzonderlijke origin-host en de oorspronkelijke poort op te geven. Dit omvat wildcard-namen zoals '*.mydomain.mycompany.net' of alleen '*' om allemaal te accepteren. Jokertekens moeten als afzonderlijk teken zoals '*.' worden opgegeven en kunnen niet worden gecombineerd met een complexe stringmatching-voorwaarde zoals 'something*something'.
Voorbeelden van geaccepteerde indelingen zijn als volgt:
- Staat altijd de bronhost toe die is gedefinieerd op het huidige TLS-certificaat. (onderwerpnaam, alternatieve DNS-namen)
- Altijd toestaan dat de bronpoort wordt geconfigureerd voor het Windows-beheercentrum
- "
*" - accepteer elke oorsprong-host en elke oorsprong-poort - "
*:9876" - accepteer elke bron-host en bron-poort 9876 - "
:9876" - origin poort 9876 accepteren - "*
.my.domain.com" - accepteer origin host <any.any.any...>. my.domain.com - "
*.my.domain.com:9876" - accepteer origin host <any.any.any...>. my.domain.com- en oorsprongpoort 9876
Preventielogica
Gateway voegt een sessiecooky (WAC-SESSION) toe voor de gebruikersbrowser. De browsersessie en gebruikersnaam worden altijd gekoppeld. Hiermee voorkomt u dat verschillende gebruikers proberen dezelfde browsersessie te gebruiken.
- Wanneer de gebruikersinterface een WebSocket-verbinding start, stuurt de browser de sessiecookie terug naar Gateway.
- Gateway valideert altijd de geverifieerde gebruikersnaam die overeenkomt met de sessiecookie.
Gateway zoekt naar de oorspronkelijke bronkoptekst. Dit is de eindpunt-URL die de oorspronkelijke Windows Admin Center-site heeft geladen.
- De gateway heeft de oorspronkelijke host en de oorspronkelijke poort gevalideerd op basis van de huidige SSL-certificaatinstellingen, waaronder een lijst met DNS-hostnamen. Hiermee wordt aangegeven dat de UI-code wordt geladen van de verwachte DNS-naamsites en -poort.
RDP-uitbreiding
Op rdp TCP-verbinding staat gateway alleen toe om poort 3389 (RDP) en poort 2179 (VM-verbinding) te gebruiken, zodat tcp-doorstuurfunctie niet kan worden gebruikt voor andere doeleinden.
Mogelijk neveneffect
Als de gebruiker Windows Admin Center gebruikt op IP-adres of iets dat niet wordt beschreven in het SSL-certificaat, heeft de gebruiker geen toegang tot WebSocket omdat deze niet kan worden vertrouwd. Indien nodig wijzigt u de registerwaarde HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride om het IP-adres vast te leggen of specificeer alleen '*' om de validatie te negeren.