Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Para proteger o acesso ao WebSocket, a conexão WebSocket agora validará origem estado do navegador para que nenhum aplicativo externo possa acessar a API WebSocket definida no gateway.
Personalização da validação
A validação pode ser ajustada para personalizar várias condições.
O utilizador pode configurar a substituição do WebSocket num valor do registo do Windows Admin Center, HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride, para especificar o nome de host de origem excepcional e a porta de origem. Isso inclui nomes curinga como "*.mydomain.mycompany.net" ou apenas "*" para aceitar todos. O wildcard deve ser especificado de forma única como "*." e não pode ser combinado com uma condição complexa de correspondência de cadeia de caracteres como "something*something".
Exemplos de formatos aceites são os seguintes:
- Sempre permite que o host de origem seja definido no certificado TLS atual. (nome do assunto, nomes DNS alternativos)
- Permite sempre a configuração da porta de origem para o Windows Admin Center
- "
*" - aceita qualquer host de origem e porta de origem - "
*:9876" - aceita qualquer host de origem e porta de origem 9876 - "
:9876" - aceitar a porta de origem 9876 - "*
.my.domain.com" - aceitar host de origem <any.any.any...>.my.domain.com - "
*.my.domain.com:9876" - aceitar host de origem <any.any.any...>.my.domain.com e porta de origem 9876
Lógica de prevenção
O gateway adiciona um cookie de sessão (WAC-SESSION) para o navegador do usuário. Ele associa a sessão do navegador e o nome de usuário sempre. Ele impede que diferentes usuários tentem usar a mesma sessão do navegador.
- Quando a interface do usuário inicia uma conexão WebSocket, o navegador envia o cookie de sessão de volta para o Gateway.
- O gateway valida sempre o nome de utilizador autenticado correspondente ao cookie de sessão.
O gateway procura o cabeçalho de origem , que é a URL do ponto de extremidade onde o site original do Windows Admin Center foi carregado.
- O gateway validou o host de origem e a porta de origem em relação às configurações atuais do certificado SSL, que incluem uma lista de nomes de host DNS. Isso indica que o código da interface do utilizador é carregado a partir dos sites com os nomes DNS esperados e a porta esperada.
Melhoria do RDP
Na conexão TCP RDP, o Gateway só permite usar a porta 3389 (RDP) e a porta 2179 (conexão VM), portanto, o recurso de encaminhamento TCP não pode ser usado para qualquer outra finalidade.
Efeito secundário possível
Se o usuário usa o Windows Admin Center por endereço IP ou algo não descrito no certificado SSL, o usuário não pode acessar o WebSocket porque ele não é confiável. Se for necessário para suporte, modifique o valor do registo HKLM\Software\Microsoft\ServerManagementGateway\WebSocketValidationOverride para definir o endereço IP ou apenas especifique "*" para ignorar a validação.