Пояснение: Принятие решения о разрешении использования подключения SSH

Настройка Подключение сервера SSH предназначена для указания, можно ли использовать данное подключение во время обмена данными между консолью и конечной системой. Во время использования подключения SSH есть потенциальные риски безопасности, поэтому, до принятия решения, важно знать, как и когда SSH используется Security Controls.

Дополнительная информация

Во-первых, нужно знать, что Security Controls использует протокол SMB для взаимодействия с компьютерами Windows и протокол SSH для взаимодействия с компьютерами Linux. При попытке обнаружить неизвестные компьютеры и взаимодействовать с ними консоль сначала будет использовать SMB, и если это не удаcтся, будет использован протокол SSH. SSH обеспечивает безопасное взаимодействие между конечными системами. Если конечная система ответит на запрос SSH, будет предпринята попытка аутентификацию в конечной системе с использованием указанных консолью учетных данных.

Хотя протокол SSH использует шифрованную транспортировку данных, любая информация, отправляемая с использованием протокола SSH, включая имена пользователей и пароли, будет доступна серверу SSH. Для обеспечения безопасности данных, отправляемых с использованием подключения SSH, многие организации требуют, чтобы клиент перед отправкой каких-либо данных выполнил проверку подлинности подключаемой удаленной системы. Security Controls в настоящее время не поддерживает аутентификацию сервера SSH. Это означает, что вы должны принять решение, нужно ли блокировать подключения SSH или разрешить консоли пропускать процесс аутентификации сервера SSH.

Принятие решения

Ваше решение о конфигурации настройки подключения сервера SSH сводится к определению, являются ли конфигурируемые вами компьютеры доверенными в вашей сети. Настройка представлена в двух местах в пользовательском интерфейсе Security Controls, и область действия и влияние параметра отличны для каждой области.

В группе компьютеров на вкладках Имя компьютера, Имя домена, IP-адрес/диапазон и Организационное подразделение.

Во время выполнения операций обнаружения на компьютерах, представленных в группе, вы часто можете не знать, какой тип компьютеров может прослушиваться с другой стороны. Возможно, вы уверены, что компьютеры в определенном диапазоне IP-адресов вашей сети являются доверенными устройствами Linux. Для этих компьютеров можно разрешить подключение SSH, пропустив процесс аутентификации или потребовав, чтобы каждый из них прошел этап проверки. Однако во время добавления доменов или организационных подразделений в группу компьютеров, вероятно, вы не будете точно знать типы их операционных систем или не будете осведомлены об их надежности. В таком случае нужно блокировать подключения SSH. Недостатком этого будет то, что вы не сможете управлять компьютерами Linux обычным образом, однако есть доступное решение.

В диалоге Свойства компьютера:

В отличие от компьютеров в группе, которые пока не обнаружены, компьютеры в виде Компьютер или "Сканирование" известны консоли. Однако объем информации о компьютере может быть ограничен, если операция обнаружения выполнялась во время активной блокировки подключений SSH. Возможно, у вас будут сведения о компьютере, такие как адрес, который вы считаете статическим IP-адресом, позволяющим определить, является ли компьютер доверенным. В такой ситуации вы можете использовать диалог Свойства компьютера для изменения значения настройки подключения сервера SSH с Блокировка на Проверить в файле известных хостов или Пропустить аутентификацию сервера. Это позволит вам выполнить полное сканирование статуса питания и осуществить отправку и установку агента на компьютере Linux.

Сводная информация о параметрах подключения к серверу SSH

Блокировка: Установите, если:

В вашей среде нет компьютеров под управлением Linux.
У вас есть компьютеры под управлением Linux, но вы не уверены, что все серверы SSH в вашей сети надежны и безопасны.
Вы не знаете, какие типы ОС будут обнаружены на компьютерах.

Вы не сможете выполнять сканирование состояния питания компьютеров или принудительную установку агентов на них. Выбор Блокировка не влияет на прослушивание команд агентов или на получение консолью результатов.

Проверить в файле известных хостов: Установите этот параметр, если нужно использовать файл known_hosts для проверки каждого целевого компьютера перед разрешением подключения SSH. Файл known_hosts находится на компьютере консоли и уникален для пользователя, находящегося в данный момент на консоли. Процесс проверки выполняется Security Controls следующим образом:

Для его использования на консоли Security Controls должен быть установлен клиент SSH. Вам может потребоваться загрузить и установить клиент SSH вручную, если на вашей консоли установлена более старая версия ОС Windows или Windows Server.

Найдите файл known_hosts на компьютере консоли.

Файл будет находиться в каталоге C:\Users\<username>\.ssh. Если файл отсутствует, подключение SSH будет невозможно.

Вы можете создать файл known_hosts, открыв командную строку PowerShell на консоли Security Controls и запустив вручную подключение SSH с целевым компьютером. Во время этого процесса ключ хоста целевого компьютера должен быть подтвержден и добавлен во вновь созданный файл known_hosts.

Если файл known_hosts существует, и в нем содержится запись для целевого компьютера, запросите у последнего ключ SSH. Security Controls сравнит этот ключ с тем, что записан в файле known_hosts. Если ключи совпадут, подключение будет разрешено.

Известный для Security Controls ключ изначально создается с использованием имени пользователя и пароля из указанных для компьютера учетных данных.

Пропустить аутентификацию сервера: Используйте этот параметр только в случае, если вы уверены, что компьютеры считаются надежными и безопасными устройствами Linux.

Временные решения на случай использования блокировки

Сканирования статуса питания

Если компьютер Linux является членом группы, он будет обнаружен, но во время сканирования не будет получена информация о его операционной системе. Если вы установите, что компьютер является известным устройством в вашей сети и считается безопасным, вы можете открыть его диалог Свойства для изменения настройки коннектора сервера SSH и установки значения Проверить в файле известных хостов или Пропустить аутентификацию сервера. Последующие сканирования компьютера будут завершены, как и ожидалось с предоставлением полной информации об устройстве.

Установка агента для Linux

Вы не сможете выполнить принудительную установку агента на компьютер Linux, если для него будет блокировано подключение SSH. Однако вы можете установить агент вручную на данном компьютере. После этого агент будет нормально работать, так как при обычном взаимодействии с консолью подключение SSH не используется.