Spiegazione: decidere se consentire o meno l'uso di una connessione SSH
L'impostazione Connessione server SSH specifica se è possibile utilizzare una connessione SSH quando la console comunica con un endpoint.L'uso di una connessione SSH comporta potenziali rischi per la sicurezza, quindi prima di prendere una decisione è importante capire come e quando SSH viene utilizzato all'interno di Security Controls.
Informazioni di base
La prima cosa da sapere è che Security Controls utilizza il protocollo SMB per comunicare con i computer Windows e il protocollo SSH per comunicare con i computer Linux.Quando si cerca di scoprire e comunicare con computer sconosciuti, la console tenta innanzitutto con il protocollo SMB; se non riesce, viene utilizzato il protocollo SSH. Il protocollo SSH fornisce una comunicazione sicura tra due endpoint. Se un endpoint risponde alla richiesta SSH, si tenta di autenticarsi all'endpoint utilizzando le credenziali fornite dalla console.
Sebbene SSH fornisca un trasporto criptato, tutti i dati inviati tramite SSH, compresi i nomi utente e le password, sono visibili e disponibili al server SSH. Per garantire la sicurezza dei dati inviati tramite una connessione SSH, molte organizzazioni richiedono che il client convalidi l'autenticità del sistema remoto a cui si sta connettendo prima di inviare i dati. Security Controls non supporta attualmente l'uso dell'autenticazione del server SSH. Ciò significa che si deve decidere se bloccare le connessioni SSH o consentire alla console di saltare il processo di autenticazione del server SSH.
Come decidere
La decisione su come configurare l'impostazione connessione al server SSH dipende dal fatto che i computer che si stanno configurando siano o meno computer fidati nella rete.L'impostazione appare in due punti dell'interfaccia utente Security Controls e la portata e l'impatto dell'impostazione sono diversi per ciascuna area.
- In un gruppo di computer nelle schede Nome computer, Nome dominio, Indirizzo IP/Intervallo e Unità organizzativa
- Sulla finestra di dialogo Proprietà computer
Quando si eseguono operazioni di individuazione su computer definiti in un gruppo di computer, spesso non si ha idea del tipo di computer che potrebbe essere in ascolto all'altro capo. È possibile che si sappia che i computer definiti da un certo intervallo IP nella rete sono computer Linux affidabili. Per questi computer, è possibile scegliere di consentire la connessione SSH saltando il processo di autenticazione o richiedendo a ciascun computer di sottoporsi a una fase di convalida. Quando si aggiungono domini o unità organizzative a un gruppo di computer, tuttavia, è molto probabile che non si sia altrettanto sicuri del tipo di sistema operativo dei computer o della loro affidabilità. In questo caso, si dovrebbe scegliere di bloccare le connessioni SSH. Il rovescio della medaglia, naturalmente, è che non si sarà in grado di gestire i propri computer Linux nel modo normale, ma ci sono soluzioni disponibili.
A differenza dei computer di un gruppo di computer che devono ancora essere individuati, i computer in Visualizzazione computer o Visualizzazione analisi sono noti alla console.La quantità di informazioni su un computer, tuttavia, può essere limitata se l'operazione di individuazione è stata eseguita mentre le connessioni SSH erano bloccate. È possibile che vi siano indizi su un computer, come ad esempio un indirizzo riconosciuto come IP statico, che consentono di determinare se un computer è affidabile. In questa situazione, è possibile utilizzare la finestra di dialogo Proprietà computer per modificare l'impostazione Connessione al server SSH da Blocca a Convalida rispetto a file host noti o Salta autenticazione server.In questo modo sarà possibile eseguire una scansione completa dello stato di alimentazione e quindi un'installazione push di un agente sul computer Linux.
Riepilogo delle opzioni di connessione al server SSH
- Blocca: scegliere questa opzione se:
- Non ci sono computer Linux nel proprio ambiente
- Si dispone di computer Linux, ma non si è certi che tutti i server SSH della propria rete siano affidabili e sicuri.
- Non si è sicuri del tipo di sistema operativo dei computer che verranno individuati
- Convalida rispetto a file host noti: selezionare questa opzione se si desidera utilizzare il file known_hosts per convalidare ogni computer di destinazione prima di consentire una connessione SSH. Il file known_hosts risiede sul computer della console ed è unico per l'utente attualmente connesso alla console. La procedura di convalida eseguita da Security Controls è la seguente:
- Cercare il file known_hosts sul computer della console.
- Se il file known_hosts esiste e contiene una voce per il computer di destinazione, interrogare il computer di destinazione per ottenere la sua chiave SSH. Security Controls confronterà la chiave con quella contenuta nel file known_hosts. Se le due chiavi coincidono, si autorizza la connessione.
- Salta autenticazione server: scegliere questa opzione solo se si è certi che i computer sono computer Linux affidabili e sicuri.
Non sarà possibile eseguire una scansione dello stato di alimentazione dei computer o eseguire un'installazione push di un agente sui computer. La scelta di Blocca non ha alcun effetto sull'ascolto dei comandi dell'agente o sui risultati restituiti alla console.
Per utilizzare questa procedura è necessario installare un client SSH sulla console Security Controls.Potrebbe essere necessario scaricare e installare manualmente un client SSH se la console si trova su una versione precedente di Windows o Windows Server.
Il file si trova nel percorso C:\Utenti\<username>\.ssh. Se il file non esiste, la connessione SSH viene bloccata.
È possibile creare il file known_hosts aprendo un prompt di PowerShell sulla console Security Controls e avviando manualmente una connessione SSH al computer di destinazione. Durante la procedura, la chiave host del computer di destinazione viene riconosciuta e quindi aggiunta a un file known_hosts appena creato.
La chiave nota come Security Controls viene originariamente creata utilizzando il nome utente e la password specificati per il computer.
Soluzioni alternative se si sceglie il blocco
Analisi dello stato di alimentazione
Se una macchina Linux è in un gruppo di computer, la macchina verrà rilevata, ma la scansione non rileverà alcuna informazione sul sistema operativo. Se si stabilisce che il computer è un dispositivo noto nella rete e che è sicuro, è possibile accedere alla finestra di dialogo Proprietà per modificare l'impostazione Connessione al server SSH in Convalida rispetto a file host noti o Salta autenticazione server. Le future scansioni del computer si completeranno come previsto e forniranno tutti i dettagli sul computer.
Installazione di un agente Linux
Non sarà possibile eseguire l'installazione push di un agente su un computer Linux se la connessione SSH a tale computer è bloccata. È tuttavia possibile installare manualmente un agente sul computer.In seguito, l'agente funzionerà normalmente, poiché la comunicazione regolare con la console non utilizza una connessione SSH.