Início / user-160174

s1lv3r's questions

Martin Hope
s1lv3r
Asked: 2016-01-05 04:55:56 +0800 CST
  • 3

eu segui

para proteger o RDP com um certificado adequado em vez do certificado autoassinado do Windows. Isso tudo funciona bem. até eu correr

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="MY_HASH"

Este comando resulta apenas em "Param inválido".

O mesmo comando funciona bem com o hash do certificado original (autoassinado do Windows). Então eu acho que algo deve estar errado com o meu certificado. Parece estar instalado corretamente na loja de certificados (com chave privada e na subseção "Desktop remoto").

Olhando para os detalhes do certificado no snap-in do MMC de certificação, meu certificado importado tem um ponto de exclamação amarelo ao lado de:

Uso de chave = assinatura digital, criptografia de chave (a0)

e o campo adicional

Limitações Base = Tipo de solicitante: unidade final

Enquanto o certificado autoassinado que o Windows gera para a conexão RDP tem:

Uso de chave = criptografia de chave, criptografia de dados (30)

Existe alguma maneira de mudar isso ou simplesmente não é possível usar este certificado para RDP?

Algumas informações adicionais:

  • O certificado é um certificado COMODO PositiveSSL Wildcard,
  • Eu converti o certificado do formulário PEM original para PKCS7 e de PKCS7 para PKCS #12/PFX usando OpenSSL antes de importá-lo para o armazenamento de certificados do Windows,
  • Outra diferença entre os certificados é que o Windows é sha1 enquanto o Comodo é sha256,
  • É uma estação de trabalho Win10,
  • A estação de trabalho não é membro de nenhum domínio, mas de uma instalação independente.
ssl-certificate
Martin Hope
s1lv3r
Asked: 2015-03-13 05:28:07 +0800 CST
  • 1

Estou tentando descobrir como os TTLs são tratados no DNS (no final, estou tentando descobrir a maneira mais rápida de alternar um domínio), mas de alguma forma estou preso na interpretação dos valores TTL.

Por exemplo, mudei um domínio hoje que tinha os seguintes registros DNS antes de movê-lo para mim:

host -a exemplo.com ns.old-provider.net

Trying "example.com"
Using domain server:
Name: ns.old-provider.net
Address: 0.0.0.0#53
Aliases: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 45674
;; flags: qr aa rd; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 4

;; QUESTION SECTION:
;example.com.           IN  ANY

;; ANSWER SECTION:
example.com.        3600    IN  NS  ns9.old-provider.net.
example.com.        3600    IN  NS  ns.old-provider.net.
example.com.        180 IN  MX  10 mail.example.com.
example.com.        3600    IN  NS  ns8.old-provider.net.
example.com.        180 IN  A   0.0.0.0
example.com.        3600    IN  SOA ns.old-provider.net. info.old-provider.net. 2015012001 14400 3600 604800 3600

;; ADDITIONAL SECTION:
ns8.old-provider.net.   86400   IN  A   0.0.0.0
ns9.old-provider.net.   3600    IN  A   0.0.0.0
ns.old-provider.net.        86400   IN  A   0.0.0.0
mail.example.com.   180 IN  A   0.0.0.0

Received 258 bytes from 0.0.0.0#53 in 31 ms

Minha interpretação da saída acima é que este domínio deve ser resolvido para meu servidor após no máximo 3600 segundos (já que estou alterando os registros NS e A).

Como movi o domínio acima, 3 horas depois de receber o TRANSFER ACK, ele ainda está resolvendo para o servidor DNS errado:

host -a example.com 8.8.8.8
[...]

;; ANSWER SECTION:
example.com.        179 IN  A   0.0.0.0
example.com.        3599    IN  NS  ns9.old-provider.net.
example.com.        3599    IN  NS  ns.old-provider.net.
example.com.        179 IN  MX  10 mail.example.com
example.com.        3599    IN  NS  ns8.old-provider.net.
example.com.        3599    IN  SOA ns.old-provider.net. info.old-provider.net. 2015012001 14400 3600 604800 3600

Como você pode ver, estou usando o servidor DNS do Google para verificar, então acho que pode ser salvo que o TTL seja respeitado.

Eu devo estar esquecendo alguma coisa. Mas não consigo descobrir - alguém pode me dar uma dica aqui, por favor?

O problema é o TTL do registro SOA, então isso deve ser reduzido antes de fazer a troca?

EDITAR

cavar +traçar +exemplo adicional.com @8.8.8.8

; <<>> DiG 9.8.1-P1 <<>> +trace +additional example.com @8.8.8.8
;; global options: +cmd
.           1024    IN  NS  c.root-servers.net.
.           1024    IN  NS  i.root-servers.net.
.           1024    IN  NS  j.root-servers.net.
.           1024    IN  NS  d.root-servers.net.
.           1024    IN  NS  f.root-servers.net.
.           1024    IN  NS  g.root-servers.net.
.           1024    IN  NS  k.root-servers.net.
.           1024    IN  NS  a.root-servers.net.
.           1024    IN  NS  h.root-servers.net.
.           1024    IN  NS  l.root-servers.net.
.           1024    IN  NS  b.root-servers.net.
.           1024    IN  NS  e.root-servers.net.
.           1024    IN  NS  m.root-servers.net.
;; Received 228 bytes from 8.8.8.8#53(8.8.8.8) in 30 ms

de.         172800  IN  NS  z.nic.de.
de.         172800  IN  NS  f.nic.de.
de.         172800  IN  NS  a.nic.de.
de.         172800  IN  NS  l.de.net.
de.         172800  IN  NS  s.de.net.
de.         172800  IN  NS  n.de.net.
a.nic.de.       172800  IN  A   194.0.0.53
a.nic.de.       172800  IN  AAAA    2001:678:2::53
f.nic.de.       172800  IN  A   81.91.164.5
f.nic.de.       172800  IN  AAAA    2a02:568:0:2::53
l.de.net.       172800  IN  A   77.67.63.105
l.de.net.       172800  IN  AAAA    2001:668:1f:11::105
n.de.net.       172800  IN  A   194.146.107.6
n.de.net.       172800  IN  AAAA    2001:67c:1011:1::53
s.de.net.       172800  IN  A   195.243.137.26
z.nic.de.       172800  IN  A   194.246.96.1
;; Received 343 bytes from 2001:500:2f::f#53(2001:500:2f::f) in 179 ms

example.com.        86400   IN  NS  ns9.old-provider.net.
example.com.        86400   IN  NS  ns8.old-provider.net.
example.com.        86400   IN  NS  ns.old-provider.net.
;; Received 93 bytes from 0.0.0.0#53(0.0.0.0) in 39 ms

example.com.        180 IN  A   0.0.0.0
;; Received 45 bytes from 0.0.0.0#53(0.0.0.0) in 29 ms
domain-name-system
Martin Hope
s1lv3r
Asked: 2015-03-05 01:49:41 +0800 CST
  • 2

Vindo de um histórico Linux e agora tendo que gerenciar alguns servidores Windows (2008R2 e 2012R2), estou me perguntando quais serviços são seguros para serem executados diretamente pela Internet. Os servidores são todos voltados para a Internet sem firewall de hardware adicional ou uma rede interna de gerenciamento de VPN.

Os serviços em dúvida são:

  1. RDP (na configuração padrão)?
  2. MSSQL (2012)?
  3. Active Directory?
  4. WSUS (sem domínio se 3. não for seguro)?

Depois de algumas pesquisas, sei que o RDP pelo menos não era seguro nas versões anteriores do Windows (2003) e o AD geralmente parece ser considerado inseguro. Ainda é uma boa ideia encapsular o RDP sobre o SSH (todos os servidores executam o cygwin)?

Obrigado pelo teu conselho!

windows-server-2008