可以将任何Secret Server版本中的所有SSH会话设置为通过Secret Server进行代理,以实现更好的控制和日志记录功能。设置防火墙规则,以确保特权帐户访问仅来自Secret Server计算机。

交通流程图

1  正常的SSH启动器流量 
</p> <p><span style=" color:="" #5e5e5e;="" font-size:="" 15px;"="">2   SSH协议 协议 代理流量


</p> <div><span class=" bbnum"="" face=""Open Sans", sans-serif" style="background-color: #0167af; border-radius: 0px; color: white; display: inline-block; font-size: 15px; height: 30px; line-height: 30px; min-width: 30px; outline: 0px; text-align: center; transition: all 0.3s ease 0s;">3  RDP代理

</p> <div> <h2 style=" background:="" rgb(17,="" 170,="" 238);="" border-bottom-color:="" rgba(0,="" 0,="" 0);="" border-bottom-style:="" solid;="" border-left-color:="" rgb(0,="" 136,="" 204);="" border-left-style:="" border-radius:="" 4px;="" border-width:="" 0px="" 8px;="" box-sizing:="" border-box;="" font-family:="" "open="" sans",="" sans-serif;="" font-stretch:="" normal;="" line-height:="" 25px;="" margin:="" 20px="" 0px;="" outline:="" padding:="" 5px="" 24px;="" position:="" relative;="" transition:="" all="" 0.3s="" ease="" 0s;="" vertical-align:="" baseline;"=""> SSH协议 代理

脚步:

1  启用S​​SH代理


2  在机密策略中启用代理

3  应用秘密政策并测试

SSH协议 协议 隧道

SSH协议 协议 隧道 是一种通过加密的方式传输任意网络数据的方法  SSH协议 协议  连接。它可用于向旧版应用程序添加加密。它还提供了一种使用端口转发来保护任何给定应用程序的数据流量的方法,基本上  挖洞  any TCP/IP port over  SSH协议 协议

为其他流量(例如RDP)启用SSH隧道。


RDP代理

There are two methods to use RDP代理:


1  RDP代理ing using RDP代理

这个怎么运作

  1. 用户单击SS中的RDP启动器。
  2. 启动器执行 在客户的计算机上。
  3. The launcher establishes a connection to the RDP代理 using credentials generated for the session. These credentials are short lived and can 上 ly be used 上 ce.
  4. 启动器成功通过RDP代理进行身份验证后,RDP代理将查找凭据和要连接的目标主机名。

    • 注意:  秘密凭证  不要  在此流程中被提供给客户端计算机,从而提高了凭证安全性。
  5. RDP代理使用机密凭据连接到所需的远程主机。
  6. RDP会话建立。
  7. RDP通信通过RDP代理来回发送,如果启用了会话记录,则将监视会话击键。



2  RDP代理ing using SSH协议 代理 and SSH协议 隧道
The RDP代理ing feature 允许使用启动器建立RDP连接, 通过Secret Server进行路由。它使用 SSH隧道(使用SSH本地客户端端口转发创建),从客户端计算机到Secret Server SSH协议 代理。


这个怎么运作

  1. 用户单击Secret Server中的RDP启动器。
  2. 启动器执行 在客户的计算机上。
  3. 启动器使用为会话生成的唯一凭据建立到SSH代理的连接。这些凭证寿命很短,只能使用一次。
  4. 启动器成功通过SSH代理进行身份验证后,启动器将打开套接字,并在客户端计算机上可用的临时端口(转发端口)上侦听连接。
  5. RDP在客户端计算机上启动,并在本地连接到转发端口。
  6. 现在,此会话的所有RDP通信都通过SSH隧道路由到Secret Server,然后转发到目标计算机。
  7. RDP会话建立。

参考文献

通过 乔恩

发表评论