說明: 決定是否允許使用 SSH 連線
SSH 伺服器連線設定可指定在控制台與端點通訊時,是否可以使用 SSH 連線。 使用 SSH 連線時有潛在的安全性風險,因此在做決定之前,瞭解在 Security Controls 內使用 SSH 的方式與時機很重要。
背景資訊
首先要瞭解的是,Security Controls 使用 SMB 通訊協定與 Windows 電腦通訊且使用 SSH 通訊協定與 Linux 電腦通訊。 當嘗試探索未知電腦並與之通訊時,控制台會先嘗試 SMB;如果失敗,會使用 SSH。 SSH 可在兩個端點之間提供安全通訊。 如果端點回應 SSH 要求,會嘗試使用控制台提供的認證向端點進行驗證。
雖然 SSH 提供加密傳輸,但是 SSH 伺服器可以看到及使用藉由 SSH 傳送的任何資料,其中包括使用者名稱與密碼。 為確保使用 SSH 連線傳送之資料的安全性,許多組織要求用戶端在傳送任何資料之前驗證其所連線遠端系統的真偽。 Security Controls 目前不支援使用 SSH 伺服器驗證。 這表示您必須決定要阻止 SSH 連線發生,還是允許控制台略過 SSH 伺服器驗證程序。
如何決定
您對如何設定 SSH 伺服器連線設定的決定取決於您設定的電腦是否是網路中受信任的電腦。 該設定顯示在 Security Controls 使用者介面中的兩個位置,針對每個區域,設定的範圍與影響都不同。
- 在電腦群組的電腦名稱、網域名稱、IP 位址/範圍與組織單位索引標籤上
- 在電腦內容對話方塊中
對電腦群組中定義的電腦執行探索操作時,您通常不知道另一端接聽的電腦類型。 您可能知道網路中某個 IP 範圍定義的電腦是受信任的 Linux 電腦。 針對這些電腦,您可以選擇允許 SSH 連線,方法是略過驗證程序,或要求每台電腦通過驗證步驟。 但是,將網域或組織單位新增至電腦群組時,您很可能對電腦的作業系統類型或其可信任度不太確定。 在此情況下,您應選擇封鎖 SSH 連線,當然,缺點是您將無法以正常方式管理 Linux 電腦,但對此有可用的因應措施。
與尚未探索到的電腦群組中的電腦不同,控制台已知電腦檢視或掃描檢視中的電腦。 但是,如果在封鎖 SSH 連線時執行探索操作,有關電腦的資訊量可能會受到限制。 可能有關於電腦的線索 (例如您識別為靜態 IP 的位址) 可讓您確定電腦是否為受信任的電腦。 在此情況下,您可以使用電腦內容對話方塊將 SSH 伺服器連線設定從封鎖變更為依據已知主機檔案進行驗證或略過伺服器驗證。 這可讓您對 Linux 電腦先後執行完整的電源狀態掃描與代理程式推送安裝。
SSH 伺服器連線選項的摘要
- 封鎖: 在下列情況下選擇此項:
- 您的環境中沒有任何 Linux 電腦
- 您擁有 Linux 電腦,但您不確定網路中的所有 SSH 伺服器都是受信任且安全的
- 您不確定將探索到之電腦的作業系統類型
- 依據已知主機檔案進行驗證: 如果您想要在允許 SSH 連線之前使用 known_hosts 檔案來驗證每台目標電腦,請選擇此選項。 known_hosts 檔案位於控制台電腦,且對於目前登入控制台的使用者而言是唯一的。 由 Security Controls 執行的驗證程序如下:
- 在控制台電腦上尋找 known_hosts 檔案。
- 若 known_hosts 檔案已存在,且目標電腦的項目包含在檔案中,請查詢目標電腦的 SSH 金鑰。 Security Controls 將會比較該金鑰與 known_hosts 檔案中的金鑰。 若兩個金鑰相符,則系統會允許連線。
- 略過伺服器驗證: 只有當您確定電腦是受信任且安全的 Linux 電腦時才選擇此項。
您將無法執行電腦的電源狀態掃描,或對電腦執行代理程式推送安裝。 選擇封鎖對接聽代理程式命令或傳回至控制台的結果沒有影響。
SSH 用戶端必須安裝在 Security Controls 控制台上才能使用此程序。 若您的控制台位於舊版的 Windows 或 Windows Server 上,則可能需要手動下載並安裝 SSH 用戶端。
該檔案位於 C:\Users\<username>\.ssh 路徑。 如果檔案不存在,將會封鎖 SSH 連線。
您可以建立 known_hosts 檔案,方法是在 Security Controls 控制台上開啟 PowerShell 提示,然後手動初始化針對目標電腦的 SSH 連線。 在此程序期間,系統會確認目標電腦的主機金鑰,然後新增至新建立的 known_hosts 檔案。
此 Security Controls 已知的金鑰最初是使用為電腦指定的使用者名稱與密碼認證建立的。
選擇已封鎖時的因應措施解決方案
電源狀態掃描
如果 Linux 電腦位於電腦群組中,將會探索到電腦,但掃描無法偵測到任何作業系統資訊。 如果您確定電腦是網路中的已知裝置,且已知是安全的,您可以前往電腦的內容對話方塊,將 SSH 伺服器連線設定變更為依據已知主機檔案進行驗證或略過伺服器驗證。 未來的電腦掃描將如預期完成,並將提供有關電腦的完整詳細資訊。
安裝 Linux 代理程式
如果 SSH 與 Linux 電腦之間的連線遭到封鎖,您將無法對該電腦執行代理程式推送安裝。 但是,您可以在電腦上手動安裝代理程式。 之後,代理程式將正常運作,因為與控制台的一般通訊埠使用 SSH 連線。