说明:决定是否允许使用 SSH 连接
SSH 服务器连接设置指定当控制台与端点通信时是否可以使用 SSH 连接。 使用 SSH 连接时存在潜在安全风险,因此在做出决定之前,请务必先了解 Security Controls 中会如何以及何时使用 SSH。
背景信息
首先,Security Controls 会使用 SMB 协议与 Windows 计算机通信,使用 SSH 协议与 Linux 计算机通信。 尝试发现未知计算机并与之通信时,控制台会首先尝试 SMB;如果失败,再使用 SSH。 SSH 提供两个端点间的安全通信。 如果端点响应 SSH 请求,则尝试使用控制台提供的凭据对该端点进行身份验证。
尽管 SSH 提供加密传输,但任何使用 SSH 发送的数据,包括用户名和密码,都对 SSH 服务器可见且可用。 为确保使用 SSH 连接发送的数据的安全性,许多组织要求客户端在发送任何数据之前先验证其所连接的远程系统的真实性。 Security Controls 目前不支持使用 SSH 服务器身份验证。 这意味着您必须决定是阻止 SSH 连接,还是允许控制台跳过 SSH 服务器身份验证流程。
如何决定
关于如何配置 SSH 服务器连接设置的决定归根结底取决于配置的计算机是否为网络中受信任的计算机。 设置可以在 Security Controls 用户界面中的两个位置找到,每个位置的设置范围和影响有所不同。
- 在计算机名称、域名、IP 地址/范围和组织单位选项卡的计算机组中
- 在计算机属性对话框中
在计算机组中定义的计算机上执行发现操作时,您通常不知道另一端可能有哪种类型的计算机正在监听。 您可能知道网络中某个 IP 范围确定的计算机是受信任的 Linux 计算机。 对于这些计算机,可以跳过身份验证流程或要求每台计算机执行验证步骤,以选择允许 SSH 连接。 但是,在向计算机组添加域或组织单位时,您很可能不确定计算机的操作系统类型或其可信度。 在这种情况下,您应该选择阻止 SSH 连接,当然,这样做的缺点在于,您将无法正常管理您的 Linux 计算机,但这是有解决方法的。
与计算机组中待发现的计算机不同,计算机视图或“扫描视图”中的计算机是控制台已知的。 但是,如果在阻止 SSH 连接的情况下执行发现操作,那么关于计算机的信息量可能会受到限制。 可能有关于计算机的线索,例如识别为静态 IP 的地址,可以帮助确定计算机是否是受信任的计算机。 在这种情况下,可以使用计算机属性对话框,将 SSH 服务器连接设置从阻止更改为根据已知主机文件进行验证或跳过服务器身份验证。 这使您能够对 Linux 计算机执行完整电源状态扫描并代理的推送安装。
SSH 服务器连接选项摘要
- 阻止:如果满足以下情况,请选择此选项:
- 您的环境中没有任何 Linux 计算机
- 您有 Linux 计算机,但您确定,网络中的所有 SSH 服务器都安全且值得信任
- 您不确定发现的计算机的操作系统类型
- 根据已知主机文件进行验证:如果希望在允许 SSH 连接之前使用 known_hosts 文件验证每台目标计算机,请选择此选项。 known_hosts 文件位于控制台计算机上,对于当前登录到控制台的用户来说是唯一的。 Security Controls 执行的验证流程如下:
- 在控制台计算机上查找 known_hosts 文件。
- 如果 known_hosts 文件存在,并且该文件中包含目标计算机的条目,则查询目标计算机的 SSH 密钥。 Security Controls 会将该密钥与 known_hosts 文件中的密钥进行比对。 如果这两个密钥匹配,则允许连接。
- 跳过服务器身份验证:仅当确认计算机是安全且值得信任的 Linux 计算机时才选择此选项。
您将无法对该计算机执行电源状态扫描或向该计算机执行代理的推送安装。 选择阻止对监听代理命令和返回到控制台的结果没有影响。
必须在 Security Controls 控制台上安装 SSH 客户端,才能使用此流程。 若控制台采用旧版 Windows 或 Windows Server,可能需要手动下载并安装 SSH 客户端。
该文件的保存路径为 C:\Users\<username>\.ssh。 如果该文件不存在,将会阻止 SSH 连接。
可以在 Security Controls 控制台上打开 PowerShell 提示符,并手动启动目标计算机的 SSH 连接,以创建 known_hosts 文件。在此流程中,会确认目标计算机的主机密钥,然后将其添加到新建的 known_hosts 文件。
Security Controls 已知的密钥最初是使用为计算机指定的用户名和密码凭据创建的。
选择“已阻止”时的解决方法
电源状态扫描
如果 Linux 计算机属于计算机组,则扫描将发现该计算机,但不会检测到操作系统信息。 如果您确定该计算机是网络中的已知设备且已知是安全的,可以前往计算机属性对话框,将 SSH 服务器连接设置更改为根据已知主机文件进行验证或跳过服务器身份验证。 未来对计算机的扫描将按预期完成,并提供有关计算机的全部详细信息。
安装 Linux 代理
如果已阻止指向 Linux 计算机的 SSH 连接,将无法向该计算机执行代理的推送安装。 但是可以在该计算机上手动安装代理。 安装后,代理将正常工作,因为与控制台的常规通信不会使用 SSH 连接。