Käytä Windowsin etätyöpöytäyhteyttä turvallisesti SSH:n avulla

Sivu päivitetty :
Sivun luontipäivämäärä :

Toimintaympäristö

Etäyhteys Windowsiin
  • Windows 11
Etäyhteys Windowsista
  • Windows 10
OpenSSH
  • OpenSSH_for_Windows_8.1p1, LibreSSL 3.0.2

Edellytykset

Etäyhteys Windowsiin
  • Windows 10 tai uudempi (vaatii Pro- tai muun version). Tämä ei kuitenkaan päde, jos OpenSSH voidaan valmistaa erikseen.
  • Windows Server 2019 tai uudempi. Tämä ei kuitenkaan päde, jos OpenSSH voidaan valmistaa erikseen.
Etäyhteys Windowsista
  • Windows (useimmat versiot ovat mahdollisia)
  • Windows Server (useimmat versiot ovat mahdollisia)

Alun perin

Kun olet luonut Windows-ympäristön Internetissä pilvessä tai VPS:ssä, käytät usein etätyöpöytäyhteyttä Windowsin etäkohteen käyttämiseen.

Etätyöpöytäyhteydessä tietoliikennesisältö salataan, ja jos käyttäjätunnusta ja salasanaa ei vuoda, muut eivät kirjaudu sisään ilman lupaa. On aina huolta siitä, että ihmiset yrittävät kirjautua sisään mistä tahansa.

Joissakin suurissa pilvissä on virtuaalikoneista erilliset palomuurit, ja yhteyslähdettä voidaan rajoittaa. Nämä ominaisuudet eivät välttämättä ole käytettävissä kaikissa palveluissa. Erityisesti pienellä budjetilla rakennetuissa ympäristöissä on monia tapauksia, joissa tällaisia toimintoja ei ole käytettävissä.

Siksi haluaisin tällä kertaa rajoittaa yhteyslähdettä mahdollisimman paljon lisäämällä SSH-toiminnon . Koska yksityistä avainta ja julkista avainta käytetään, niin kauan kuin yksityinen avain ei vuoda, mahdollisuus kirjautua sisään etänä toisesta ympäristöstä voidaan minimoida mahdollisimman paljon.

Tässä tapauksessa käytämme OpenSSH: ta SSH-ympäristön rakentamiseen.

Windows-etäkohdeympäristön luominen

Rakenna Windows-ympäristö, jonka avulla voit muodostaa etäyhteyden Internetin kautta. Ei ole väliä missä se on rakennettu, kunhan se kulkee Internetin kautta, mutta tätä vahvistusta varten se rakennetaan virtuaalikoneeksi Microsoft Azureen. Azureen rakentamisen vaiheet eivät liity tähän vinkkiin, joten jätän ne pois. Koska porttia 22 käytetään tällä kertaa, jos käytät Azurea, varmista, että portin 22 tietoliikenne kulkee Azuren virtuaalikoneen asetusten läpi.

Jos rakennat muussa ympäristössä kuin Azuressa, varmista, että olet paikassa, jossa voit muodostaa etätyöpöytäyhteyden Windowsiin ympäristössäsi.

Lisäksi Windows-versio kohdistuu Windows 10: een tai uudempaan tai Windows Server 2019: ään tai uudempaan, mikä helpottaa OpenSSH-ympäristön rakentamista. Se voidaan toteuttaa aiemmassa ympäristössä, mutta se vie hieman enemmän aikaa ja vaivaa, koska sinun on ladattava ja määritettävä OpenSSH erikseen.

Siinä tapauksessa menettely on sama kuin SFTP:ssä, joten tutustu seuraaviin vinkkeihin.

OpenSSH:n määrittäminen

Tästä eteenpäin työskentelemme Windowsin etäympäristössä. Yhdistä ensin etäkohteeseen etätyöpöytäyhteydellä. Jos pilvi tai VPS tarjoaa konsolin, voit käyttää sitä. Koska toimimme tällä kertaa Windows 11 -ympäristössä, vaiheet voivat olla hieman erilaiset muissa versioissa.

Avaa Käynnistä-valikko ja valitse Asetukset.

Valitse sovellus.

Valitse Valinnaiset ominaisuudet.

Valitse Näytä ominaisuudet.

Luettelossa on "OpenSSH Server" hieman alempana, joten tarkista se ja napsauta "Seuraava".

Klikkaa Asenna.

Kun asennus on valmis ja "OpenSSH Server" lisätään alla olevaan luetteloon, olet valmis.

OpenSSH:n palvelun määritys

Napsauta hiiren kakkospainikkeella Käynnistä-valikkoa ja valitse Tietokoneen hallinta.

Valitse vasemmalla olevasta luettelosta Palvelut.

Etsi keskimmäisestä luettelosta "OpenSSH SSH Server", napsauta hiiren kakkospainikkeella ja valitse "Ominaisuudet".

Kun muodostat etäyhteyden, haluamme OpenSSH-palvelimen olevan käynnissä, joten aseta "Käynnistystyyppi" -asetukseksi "Automaattinen".

Koska se ei ole käynnissä tällä hetkellä, aloitan sen täältä, mukaan lukien sen asettaminen.

Kun olet käynnistänyt, napsauta OK -painiketta sulkeaksesi sen. Sen pitäisi olla käynnissä luettelossa.

OpenSSH: n määrittäminen

Alkuperäisessä tilassa todennus yksityisellä avaimella on poistettu käytöstä, joten aseta se. Avaa seuraava kansio Explorerissa.

  • C:\ProgramData\ssh

Yllä oleva kansio voi kuitenkin olla piilotettu kansio, joten tee se näkyväksi asettamalla Explorer-asetukset.

Kansiossa sshd_config on tiedosto, jota kutsutaan, joten avaa se tekstieditorilla, kuten Muistiolla. Koska teemme muutoksia tällä kertaa, kopioi ja kopioi varmuuskopiona sshd_config_old ennen muutosta.

PubkeyAuthentication yes Etsiä: Tämä kohde on asetus, jolla määritetään, otetaanko salaisen avaimen todennus käyttöön. Oletuksena se on poistettu käytöstä ja siinä lukee , mutta se kommentoidaan, yes joten poista kommentti.

Ennen muutosta

#PubkeyAuthentication yes

Muutoksen jälkeen

PubkeyAuthentication yes

PasswordAuthentication yes Etsiä: Tässä kohdassa määritetään, otetaanko salasanatodennus käyttöön. Se on oletusarvoisesti käytössä, ja vaikka otat yksityisen avaimen todennuksen käyttöön, se on turvallisuuden kannalta merkityksetön, jos se pysyy käytössä, joten poista kommentti ja no aseta .

Ennen muutosta

#PasswordAuthentication yes

Muutoksen jälkeen

PasswordAuthentication no

Kommentoi seuraavaa riviä lopussa: Tämä on järjestelmänvalvojaryhmän avainasetus, ja poistamme sen käytöstä, koska tuemme käyttäjäkohtaisia kirjautumisia tässä tapauksessa.

Ennen muutosta

Match Group administrators
       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

Muutoksen jälkeen

#Match Group administrators
#       AuthorizedKeysFile __PROGRAMDATA__/ssh/administrators_authorized_keys

Kun olet tallentanut tiedoston muutoksen jälkeen OpenSSH SSH Server , käynnistä palvelu uudelleen vastaamaan asetuksia.

Jos haluat vaihtaa porttia

Jos haluat vaihtaa SSH-porttia, muuta seuraavaa.

Ennen muutosta

#Port 22

Muutoksen jälkeen

#Port <任意の番号>

Portin numeroa muuttamalla oletusporttia ei hyökätä, mikä johtaa vahvempaan turvallisuuteen. Toisaalta se lisää toiminnan monimutkaisuutta, joten sinun on oltava varovainen.

Jos muutat portin numeroa, sinun on määritettävä yhteyden muodostamisen yhteydessä jokin muu portti kuin 22.

Yksityisten ja julkisten avainten luominen

Tämä on asiakaspuolen tehtävä. Sillä ei kuitenkaan ole väliä, missä työskentelet. Varo kuitenkin vuotamasta luomaasi yksityistä avainta.

Jos sinulla on Windows 10 tai uudempi, Windows Server 2019 tai uudempi, OpenSSH-asiakas asennetaan oletusarvoisesti, joten voit luoda sen helposti komennolla. Muissa ympäristöissä sinun on asennettava erillinen OpenSSH-asiakas tai käytettävä erillistä työkalua.

Seuraavat vinkit koskevat SFTP:tä, mutta katso niistä OpenSSH-asiakasohjelman määrittäminen.

Käynnistä asiakasympäristössä komentokehote, PowerShell, pääte tai mikä tahansa työkalu, joka voi suorittaa komentoja.

Koska luot tiedoston, siirry cd mihin tahansa hakemistoon komennolla.

Suorita seuraava komento:

ssh-keygen -t rsa -f id_rsa

Voit asettaa avaimen tunnuslauseen (salasanan), joten anna se tarvittaessa. Jos asetat tunnuslauseen, suojaus paranee, mutta se lisää tunnuslauseen syöttämiseen kuluvaa aikaa ja vaivaa myöhemmässä prosessissa.

Julkinen avain (id_rsa.pub) ja yksityinen avain (id_rsa) on luotu.

Julkinen avain (id_rsa.pub) sijoitetaan etäkohteeseen myöhemmin. Yksityinen avain voi sijaita missä tahansa etäasiakasohjelmassa, mutta sen on sijaittava kansiossa, jota voi käyttää vain suojaustarkoituksiin käytettävä tili. Pohjimmiltaan mielestäni ei ole mitään ongelmaa, jos sijoitat sen seuraavaan kansioon asiakaspuolella. Jos käytät OpenSSH-asiakasohjelmaa, se selaa oletusarvoisesti tähän kansioon.

  • C:\Users\<ユーザー名>\.ssh

Jos et voi luoda yllä olevaa kansiota Explorerissa, voit luoda sen seuraavalla komennolla.

cd C:\Users\<ユーザー名>
mkdir .ssh

Julkisten avainten sijoittaminen

Tämä on etätoiminto. Aseta luotu julkinen avain (id_rsa.pub) etäkohteeseen. Siirrä tämä tiedosto seuraavaan kansioon: <ユーザー名> on sen käyttäjätilin nimi, johon kirjaudut, kun muodostat etäyhteyden.

  • C:\Users\<ユーザー名>\.ssh

Jos sinulla ei ole kansiota etkä voi luoda kansiota Resurssienhallinnassa, voit luoda kansion seuraavalla komennolla.

cd C:\Users\<ユーザー名>
mkdir .ssh

Vaihda käyttöönotetun julkisen avaimen tiedoston authorized_keys arvoksi . Se siitä.

Ympäristöstäsi riippuen tiedosto saattaa jo authorized_keys olla sinulla. Näin voi käydä, jos olet määrittänyt SSH-yhteyden muihin tarkoituksiin. Siinä tapauksessa authorized_keys olet rekisteröinyt tiedoston avaamalla tiedoston ja tiedoston Muistiossa jne. ja id_rsa.pub luettelemalla id_rsa.pubin sisällön authorized_keys seuraavalla rivillä. Voit rekisteröidä useita julkisia avaimia authorized_keys.

Yhdistä SSH:hon

Kun muodostat yhteyden OpenSSH-komennolla

On olemassa useita tapoja muodostaa yhteys SSH: hen, mutta aloitetaan komentopohjaisella yhteydellä. Itse asiassa yhteys vähiten vaiheita on komennolla. Edellytyksenä on, että OpenSSH-asiakas on asennettu.

Käynnistä valitsemasi komentotyökalu (komentokehote, PowerShell, pääte).

Kirjoita seuraava komento:

Komennon muoto

ssh -i <秘密鍵ファイルパス> -L <ローカルの空いているポート>:127.0.0.1:3389 <接続先のユーザーアカウント名>@<接続先サーバーIPアドレス、またはホスト名>

Seuraavassa on selitys parametreista. Aseta se ympäristösi mukaan.

Muuttujan parametrin nimen kuvaus
SSH Ilmoitus SSH: n käytöstä OpenSSH: n kanssa.
-minä Ilmoitus yksityisen avaimen tiedoston käytöstä.
< yksityisen avaimen tiedostopolku> Kuvaile luomasi yksityisen avaimen tiedoston sijainti. C:\Users\<ユーザー名>\.ssh Polku on valinnainen. Muussa tapauksessa tarvitaan absoluuttinen tai suhteellinen polku.
-L Tässä ilmoituksessa määritellään satama, jota käytetään paikallisesti ja etänä muodostettaessa yhteys etämääränpäähän.
< paikallinen vapaasatama> Etätyöpöytäyhteys käyttää yleensä porttia 3389, mutta voit muodostaa yhteyden mistä tahansa portista. Ei ole väliä mikä numero se on, kunhan se on ilmainen.
127.0.0.1 Tämä on isännän IP-osoite, joka tunnistaa, mistä etäkohde on yhdistetty. Pohjimmiltaan 127.0.0.1 on hieno.
3389 Etäkohteessa käytettävä portin numero. Etäkohde yhdistetään yleensä portilla 3389 etätyöpöytäyhteydellä, joten se voidaan jättää ennalleen.
< sen käyttäjätilin nimi, johon haluat muodostaa yhteyden> Määritä, mihin tiliin haluat muodostaa yhteyden etäkohteessa.
< sen palvelimen IP-osoite tai isäntänimi, johon yhteys muodostetaan> Määrittää etäkohdepalvelimen.

Esimerkki syötteestä

ssh -i id_rsa -L 13389:127.0.0.1:3389 TestUser@52.140.221.194

Ensimmäistä kertaa sinua pyydetään antamaan avain, joten yes kirjoita ja paina Enter.

Jos yksityiselle avaimellesi on määritetty tunnuslause, sinun on annettava se.

Seuraavat ovat yhdistetyssä tilassa. Näet, että palvelinpuolen käyttäjä näytetään, ei asiakas. Kun tämä ikkuna tulee näkyviin, se on kytketty, joten älä sulje sitä. Jos suljet sen, yhteys katkeaa.

Kun muodostat yhteyden PuTTY: hen

Tässä yritämme muodostaa yhteyden SSH: hen työkalulla nimeltä PuTTY.

Yksityisen avaimen muuntaminen

Ensinnäkin, jos käytät PuTTY: tä, sinun on muunnettava yksityinen avain. Mielestäni liitteenä olevassa työkalussa on "kitti .exe", joten aloita se.

Valitse valikosta "Konversiot -> tuontiavain".

Valitse luomasi yksityinen avain, tässä tapauksessa "id_rsa".

Jos olet asettanut tunnuslauseen, kirjoita se.

Valitse valikosta "File -> Save private key".

「. .ppk" -tiedosto.

Kun olet luonut, olet valmis.

PuTTY: n määrittäminen

Käynnistä kitti.exe.

Kirjoita sen ympäristön IP-osoite, johon haluat muodostaa yhteyden. Jos sinulla on toimialue, voit muodostaa yhteyden verkkotunnukseen.

Valitse vasemmalla olevasta valikosta Yhteys -> Data. Kirjoita Automaattisen kirjautumisen käyttäjänimi -kenttään sen ympäristön tilin nimi, johon haluat muodostaa yhteyden.

Valitse vasemmalla olevasta valikosta Yhteys -> SSH -> Tunnelit. Kirjoita kukin niistä alla olevaan syöttökenttään ja napsauta "Lisää" -painiketta.

Parametrin nimen arvo Huomautuksia
Lähde-portti 13389 Mikä tahansa vapaa portti tekee. Käytän sitä myöhemmin
Kohde 127.0.0.1:3389

Kun se lisätään, sen pitäisi näyttää tältä:

Valitse seuraavaksi vasemmalla olevasta valikosta "Yhteys -> SSH -> Auth -> Cledentioals" ja napsauta Selaa-painiketta "Yksityinen avaintiedosto todennusta varten".

Valitse tallentamasi yksityinen avain.

Valitse vasemmalla olevasta valikosta "Istunto", kirjoita haluamasi nimi Tallenna istunnot ja napsauta Tallenna-painiketta. Seuraavasta kerrasta lähtien on OK, jos lataat tämän asetuksen.

Kun olet vahvistanut tallennuksen, napsauta "Avaa" -painiketta.

Seuraava näyttö tulee näkyviin, kun muodostat yhteyden ensimmäisen kerran. Napsauta Hyväksy-painiketta.

Näet näytön, joka näyttää komentokehotteelta. Jos sinulla on yksityisen avaimen tunnuslause, anna se.

Jos näytön sisältö muuttuu alla kuvatulla tavalla, se yhdistetään. Näet, että palvelinpuolen käyttäjä näytetään, ei asiakas. Kun tämä ikkuna tulee näkyviin, se on kytketty, joten älä sulje sitä. Jos suljet sen, yhteys katkeaa.

Etätyöpöytäyhteyden muodostaminen SSH:n avulla

Muodostetaan nyt etätyöpöytäyhteys, kun olet yhteydessä SSH: hen.

Kun muodostat yhteyden, tietokoneen osa ei ole todellinen etäosoite, vaan "localhost: < > SSH-yhteydessä määritetty portin nimi". Esimerkissä määritettiin 13389, joten tässä muodostamme yhteyden "localhost: 13389".

Jos todennusnäyttö tulee näkyviin, voit arvioida, että yhteys on valmis. Anna käyttäjänimesi ja salasanasi muodostaaksesi yhteyden.

Jos pystyt muodostamaan yhteyden tällä tavalla, olet onnistunut.

Poista tavalliset etätyöpöytäyhteydet käytöstä palomuuriasetuksissa

Edellisen kohteen aikana voit nyt muodostaa yhteyden etätyöpöydälle SSH: n avulla. Tässä tilassa "SSH:n etätyöpöytäyhteys" on kuitenkin lisätty vain "Normaaliin etätyöpöytäyhteyteen". Turvallisuuden kannalta se ei lisää mitään. Joten seuraava asia on estää "normaali etätyöpöytäyhteys".

Jos teet tämän asetuksen, et voi muodostaa yhteyttä lukuun ottamatta "etätyöpöytäyhteyttä SSH: n kautta", joten jos sekoitat asetuksia, sinulla ei ehkä ole keinoja muodostaa etäyhteyttä. Siksi muista tarkistaa etukäteen, että "etätyöpöytäyhteys SSH: n kautta" on mahdollista, ja pystyä käyttämään etäympäristöä muilla tavoilla, vaikka asiakas, johon yrität muodostaa yhteyden, katoaa.

Määritä tässä palomuuriasetukset kohdassa "Etätyöpöytäyhteys SSH: n kautta". Tämä johtuu siitä, että jos suoritat toiminnon "normaalilla etätyöpöytäyhteydellä", se katkaistaan heti, kun asetat palomuurin.

Näytä Windows Defenderin palomuuri edistyneellä suojauksella. Windows-versiosta riippuen näytön sijainti vaihtelee, joten näytä se kyseisen version mukaan.

Valitse vasemmalla olevasta valikosta Saapuvan liikenteen säännöt.

Etsi keskimmäisestä luettelosta "Remote Desktop - User Mode (TCP In)" ja avaa sen ominaisuudet.

Valitse Laajuus-välilehti, muuta paikalliseksi IP-osoitteeksi Nämä IP-osoitteet ja napsauta Lisää-painiketta.

Kirjoita 127.0.0.1 ja napsauta OK painiketta. Tämä estää etätyöpöytäyhteydet muualta kuin versiosta 127.0.0.1. 127.0.0.1 on IP-osoite, joka osoittaa koneeseesi. Jos syötät väärän arvon, et ehkä pysty muodostamaan yhteyttä mistään, joten ole varovainen.

Klikkaa OK -painiketta vahvistaaksesi.

Toistaiseksi tämä yksin on vastatoimi, mutta asetetaan myös "Etätyöpöytä - käyttäjätila (UDP-vastaanotto)".

Varmista, että et voi muodostaa etäyhteyttä millään muulla kuin SSH:lla

Yritä nyt muodostaa etätyöpöytäyhteys toisesta tietokoneesta, joka ei käytä SSH:ta.

Jos yhteyden muodostaminen onnistuu, todennusnäyttö tulee näkyviin. OK, jos voit vahvistaa, että yhteyttä ei voida muodostaa alla olevan kuvan mukaisesti.

Yhteenveto

Uusimmalla Windowsilla on nyt helppo ottaa käyttöön SSH-palvelin. Lisäämällä asetuksia voit nyt helposti parantaa etätyöpöytäyhteytesi turvallisuutta. Koska se on kuitenkin vastuussa vain Windowsin turvatoimista, Jos haluat tehdä siitä turvallisemman, mielestäni on parempi asentaa erillinen SSH-palvelin tai palomuuri ennen yhteyden muodostamista Windowsiin.

Voit myös asettaa suojauksen tiukasti SSH: n avulla, mutta kun se on liian vaikeaa, kukaan ei voi muodostaa yhteyttä toimintavirheen vuoksi. Ole varovainen, ettet päädy siihen.