Главная » Linux

Telnet on windows 2003

Содержание
  1. Telnet on windows 2003
  2. Telnet on windows 2003
  3. Answered by:
  4. Question
  5. Answers
  6. Безопасность Windows Server 2003
  7. Аутентификация Windows Server 2003
  8. Аутентификация NTLM
  9. Аутентификация NTLM для telnet
  10. Обзор Kerberos
  11. Инфраструктура открытых ключей и аутентификация Windows Server 2003

Telnet on windows 2003

This help document gives you an introduction to telnet and to our Telnet Server, describes how to install, set up and use the telnet server, and has a trouble shooting chapter to help you overcome problems. We hope you will find it helpful.

Although we did our best to proofread this help, we are unfortunately not immune to mistakes and omissions. If you find any mistake or have suggestions to improve this help, please let us know .

Telnet is the standard for character-based network communications. It is a part of TCP/IP, the networking protocol of the Internet. Computer users on local area networks and on the Internet use Telnet to connect to a remote host and execute programs on the host.

Telnet server is a server application that runs on a host computer and allows remote users to Telnet in to a host.

Telnet client is a client application that allows a user to Telnet out from his system to run a program on remote hosts.

Telnet is a useful way for system administrators, programmers and DOS legacy application users to do the following:

To administer a system, you must be at the console of that system. With telnet, the remote administrator can support a system that may be physically located miles away.

Telnet allows moving applications from old platforms to run on NT. Telnet is used to provide the interface to the users.

Windows NT can handle multiple users running different jobs at the same time, but only one user can be using the system console at a time. Telnet allows multiple users to be concurrently logged in.

Telnet allows remote users to run programs on the host rather than on their machine. It is more efficient to do so in case the program requires large amounts of resources that reside on the host.

Using telnet, a user can run character-based applications only. Telnet does not support graphical programs that use windows. It runs any program that runs in your Windows NT Command Shell Window.

GoodTech Telnet Server for Windows NT is a telnet server application that runs on a host computer and allows remote users to Telnet in to the host. Microsoft Windows NT networking has a built-in Telnet client, but does not have a built-in Telnet server, so Goodtech Telnet Server can be used to provide the missing build-in Telnet Server functionality.

When Goodtech Telnet Server is installed on your Windows NT system, you can Telnet from remote systems and run programs on your Windows NT system. It is a functional, easy to use and high performance tool, that is written based on open standards, can communicate with any standard telnet client and is highly integrated with Windows NT operating system.

By using a Telnet client, you can connect to GoodTech Telnet Server from anywhere in the world and login as if you were sitting at the console. Whether you are a system administrator, a programmer or a DOS application user, GoodTech telnet server can provide you with the Telnet Server functionality that you need.

The installation program creates a telnet service called telnetd and adds it to the list of services available on your NT system.

When the Telnet Server service is started, either manually or automatically, it executes a program named telnetd.exe .

The program telnetd.exe opens a log file telnetd.log in the %gt_installation_dir% directory.(were gt_installation_dir is a the system environment variable created during installation, that contains the GoodTech Telnet Server installation directory)

Telnetd.exe is now ready for connection requests. It listens to requests on the default telnet port (#23) or on other port if a different port was specified when the telnet service was started.

When a user wants to telnet out to the host running GoodTech telnet server, he runs a telnet client program. The telnet client program sends a connection request to port #23 (or to any other port the telnet server was configured to listen).

The telnetd.exe program gets the request and opens a thread, which is responsible for this connection with the client. This thread relieves telnetd.exe from communicating with the client and let telnetd.exe focus on listening to other connection requests.

Читайте также:  Как открыть диспетчер задач с правами администратора windows 10

The client thread starts the authentication process. It asks the telnet client for login information. The login information consists of a User ID, Password and optional Domain. The client thread then uses the internal NT security mechanism to check if the user is allowed to the host. If the user passes authentication, he is logged onto the host system.

Telnet on windows 2003

This forum is closed. Thank you for your contributions.

Answered by:

Question

I’ve found this in the help, which seems to indicate that there is a telnet server for Windows XP:

(copy the whole line including the ms-its into Internet Explorer, I don’t think it will work in anything else but IE, and if you’re using a dual-boot system with XP as the second OS, change the C:\ to a d:\)

Could somebody point me to a walkthrough on how to install and configure it? My google searches keep giving me results for Server 2000, Server 2003, or how to use the Telnet CLIENT in XP to connect to a telnet server.

If nobody can find a link, could somebody please post a walk-through? I can’t find any interface for doing so, nor a list of command line commands to do it the hard way.

Oh, I know all about the weaknesses and limitations of telnet and why it’s been replaced with SSH. I’m not concerned about the cleartext passwords as long as the traffic is restricted to the 4-port switch on my home network (192.168.1.0/24 subnet).

Answers

I followed a tutorial for Server 2003 and got it working with Server 2003. I was then able to log in to my XP machine from the server 2003 virtual machine by disabling NTLM authentication using the command «tlntadmn config sec=-NTLM».

This makes no sense. I haven’t tried to use telnet to log in on anything less than Windows XP Professional. Granted, the method I’ve been using to attempt to connect is to type «telnet slickswintel» or «telnet 192.168.1.98» (I have hosts files and static IP addresses, at least for the desktops. The laptop uses DHCP, but shares a copy of the hosts file) at the command prompt, but shouldn’t the Microsoft Telnet program know how to use NTLM?

Is this something to do with the fact that they technically aren’t the same user accounts and [probably] don’t have the same SIDs, since they are local machine accounts that just happen to have the same logins and passwords? I’m NOT using a domain.

Безопасность Windows Server 2003

Существует довольно распространенный миф, что платформа Windows является незащищенной по своей природе. Это принципиально неверно. Windows Server 2003 — одна из наиболее защищенных операционных систем. Она основывается на системе безопасности Windows 2000 и расширяет ее. Windows Server 2003 можно сделать защищенной на любом требуемом уровне (если администратор знает, как это сделать). В этой лекции описываются некоторые средства и процессы, используемые для защиты вашего сервера.

Аутентификация Windows Server 2003

Аутентификация — это проверка того, что данное лицо соответствует опознавательным данным, которые он предъявляет; тем самым, аутентификация является основным компонентом системы безопасности Windows Server 2003. Она подтверждает опознавательные данные (» личность «) пользователя, который хочет выполнить вход на компьютер , в сеть или в домен . Используя Active Directory , Windows Server 2003 поддерживает единый вход для доступа ко всем сетевым ресурсам. Это позволяет пользователю выполнять вход в домен с помощью единственного пароля или смарт-карты и аутентифицироваться для любого ресурса в домене.

Windows Server 2003 поддерживает два основных протокола для аутентификации.

  • Kerberos V5.Используемый по умолчанию протокол аутентификации для серверов Windows 2000, Windows XP и Windows Server 2003, если они являются членами домена Active Directory. Его можно использовать для интерактивного входа по паролю или смарт-карте.
  • NTLM.Поддерживается для совместимости с Windows 95, Windows 98, Windows Me и Windows NT 4, которые используют NTLM для подсоединения к сети. Компьютеры, работающие с Windows Server 2003, используют NTLM при подсоединении или доступе к ресурсам в домене Windows NT 4.

Аутентификация NTLM

Операционные системы Microsoft Windows 9x и Windows NT не могут использовать Kerberos, поэтому они используют NTLM для аутентификации в домене Windows Server 2003. В защите NTLM имеются «слабые места», которые позволяют специалистам по взлому паролей дешифровать NTLM -аутентификацию. Чтобы воспрепятствовать этому, Microsoft разработала NTLM версии 2. Клиенты и серверы Windows 2000, а также Windows XP будут продолжать аутентифицироваться на контроллерах доменов Windows Server 2003 с помощью Kerberos независимо от того, что используется, — NTLM или NTLMv2.

Читайте также:  Linux удалить историю команд текущей сессии

Аутентификация NTLM для telnet

Для клиента telnet (сетевого теледоступа) в Windows 2000 добавлена поддержка аутентификации NTLM . Это позволяет клиенту telnet в Windows 2000 или Windows Server 2003 выполнять вход на сервер telnet Windows Server 2003 с помощью аутентификации NTLM . Для доступа к серверу telnet пользователи могут использовать свое локальное пользовательское имя и пароль Windows 2000 или информацию доменной учетной записи. Если аутентификация NTLM не используется, то пользовательское имя и пароль передаются на сервер telnet в виде нешифрованного текста. В результате эти данные могут быть перехвачены злоумышленником в сети. При аутентификации NTLM клиент использует для аутентификации средства безопасности Windows Server 2003, и у пользователя не запрашиваются пользовательское имя и пароль. Пользовательское имя и пароль передаются на сервер в шифрованном виде. После аутентификации все команды передаются в виде нешифрованного текста.

Обзор Kerberos

Протокол аутентификации Kerberos обеспечивает взаимную защиту между клиентами и серверами, а также между серверами. Когда пользователь выполняет вход, используя пользовательское имя/пароль или смарт-карту, компьютер находит сервер Active Directory и службу аутентификации Kerberos. Затем Kerberos выдает так называемые билеты ( ticket ), чтобы разрешить доступ к сетевым службам. Эти билеты содержат шифрованные данные, включая шифрованный пароль, подтверждающий опознавательные данные пользователя для этой службы.

Главным компонентом Kerberos является Центр распространения ключей ( KDC — Key Distribution Center). KDC запускается на каждом контроллере домена как часть Active Directory и используется для хранения паролей и информации учетных записей клиентов. Windows Server 2003 реализует KDC как доменную службу и использует Active Directory домена как ее базу данных с информацией учетных записей. В процесс аутентификации Kerberos входят следующие шаги.

  1. Пользователь на клиентском компьютере аутентифицируется для KDC с помощью пароля или смарт-карты.
  2. KDC выдает клиенту специальный билет, позволяющий получить билет (TGT — Ticket-granting ticket ), чтобы разрешить ему доступ к предоставляющей билеты службе ( TGS — Ticket -granting service) на контроллере домена.
  3. TGS выдает клиенту билет на обслуживание.
  4. Этот билет подтверждает опознавательные данные пользователя для службы и опознавательные данные службы для пользователя.
Реализация Kerberos в Windows Server 2003

По умолчанию Kerberos обладает свойствами прозрачности и защищенности в Windows Server 2003. Это освобождает вас от необходимости знать, каким образом реализован Kerberos.

Если вам необходимо внести изменения в политику Kerberos, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на данном домене.
  3. Выберите пункт Properties (Свойства) и затем щелкните на вкладке Group Policy (Групповая политика).
  4. Щелкните на кнопке Edit.
  5. В дереве консоли щелкните на Kerberos Policy (в последовательности Computer Configuration/ Windows Settings/Security Settings/ Account Policies /Kerberos Policy).
  6. Дважды щелкните на политике Kerberos, которую хотите модифицировать.
  7. Внесите изменения в эту политику и затем щелкните на кнопке OK.

Имеется несколько относящихся к Kerberos политик, которые можно модифицировать, если это крайне необходимо.

  • Enforce User Login Restrictions. Указывает, что KDC должен проверять наличие у пользователя права «Log on locally» (Локальный вход) или «Access this computer from the Network» (Доступ к данному компьютеру из сети). Если пользователь не имеет одного из этих прав, то билет на обслуживание не выдается. Эта политика включена по умолчанию.
  • Maximum Lifetime That a User Ticket Can Be Renewed.Задает максимальный срок действия билета TGT или сеансового библиотека. По умолчанию 7 дней.
  • Maximum Service Ticket Lifetime.Задает количество минут, в течение которых действителен билет на обслуживание. Это должно быть значение от 10 минут до времени, заданного в политике «Maximum User Ticket Lifetime». По умолчанию 600 минут.
  • Maximum Tolerance for Synchronization of Computer Clocks. Задает максимально допустимое отличие в минутах между таймерами компьютера-сервера KDC и клиентского компьютера. Таймеры этих машин должны быть синхронизированы с максимально возможной точностью. По умолчанию 5 минут.
  • Maximum User Ticket Lifetime. Задает количество часов, в течение которых действителен билет Kerberos TGT. По истечении этого времени должен быть получен новый билет или обновлен старый. По умолчанию 10 минут.

Имеется также небольшое число других опций Kerberos. Для доступа к этим опциям нужно выбрать пользователя в окне Active Directory Users and Computers и щелкнуть на Properties.

  • Smart Card Is Required for Interactive Logon.Требует, чтобы пользователь выполнял вход с помощью смарт-карты. По умолчанию эта политика отключена.
  • Use DES Encryption for This Account.Требует использования 56-битного DES-шифрования вместо 128-битного RC4, используемого в Microsoft Kerberos. Поскольку метод DES защищен намного меньше, чем RC4, использование DES не рекомендуется. По умолчанию эта политика отключена.
Читайте также:  Pptp ������ ��� linux

Хотя Kerberos существенно повышает защищенность по сравнению с прежними протоколами аутентификации, его безопасность в целом все еще основывается на пароле пользователя. В результате слабая политика паролей может обесценить все преимущества Kerberos. Один из способов разрешения данной проблемы — это использование смарт-карт.

Реализация смарт-карт

Windows Server 2003, как и Windows 2000, поддерживает использование смарт-карт для входа. На смарт-карте могут храниться сертификат пользователя и личный ключ , поэтому он может выполнять вход, установив эту карту в устройство чтения смарт-карт. После этого компьютер запрашивает у пользователя его личный идентификационный номер (PIN-код), чтобы разрешить этому пользователю вход в систему. Смарт-карты дают следующие преимущества по сравнению с паролями.

  • Отпадает вопрос слабости использования пароля в Kerberos. Смарт-карты обеспечивают более сильную аутентификацию , чем пароли, поскольку для них используются шифрованные идентификационные данные.
  • Требуется, чтобы пользователь лично установил смарт-карту для аутентификации в домене.
  • Смарт-карта может быть блокирована после определенного числа неудачных попыток ввода PIN-кода. Это может воспрепятствовать словарным и «лобовым» атакам на смарт-карту.

Windows Server 2003 использует несколько политик, чтобы определить вход в систему с помощью смарт-карт. Политика Smart Card Is Required for Interactive Logon требует использования смарт-карты для интерактивного входа в систему. Если задана эта политика, то пользователь не может использовать пароль для входа по учетной записи. Эта политика касается только интерактивных и сетевых входов, но не входов удаленного доступа, для которых используется другая политика. Смарт-карты особенно рекомендуются для наиболее важных учетных записей, например, учетных записей Administrator. Политику Smart Card Is Required for Interactive Logon не следует использовать, если пользователь должен указать пользовательское имя, пароль и имя домена для доступа к сетевым ресурсам.

Инфраструктура открытых ключей и аутентификация Windows Server 2003

Windows Server 2003 использует сертификаты для разнообразных функций, таких как аутентификация по смарт-карте, аутентификация на веб-сервере, защищенная электронная почта, безопасность IP (Internet Protocol) и подписание кода ( code signing ). Сертификат — это цифровой документ, выданный каким-либо ответственным органом для подтверждения идентификационных данных обладателя сертификата. Он связывает открытый ключ (public key) с пользователем, компьютером или службой, которые владеют соответствующим личным ключом (private key). В сертификат обычно включается информация о пользователе или компьютере, которому выдан этот сертификат, информация о самом сертификате и (обычно) о так называемом Центре сертификации (ЦС) (Certificate authority [CA]), который выдал сертификат. Сертификаты обычно содержат следующую информацию.

  • Открытый ключ пользователя.
  • Часть идентифицирующей информации о пользователе, например, его имя и адрес электронной почты.
  • Срок действия этого сертификата.
  • Информация о поставщике этого сертификата.
  • Цифровая подпись поставщика, которая связывает открытый ключ пользователя и его уникальную идентифицирующую информацию.

Обычно сертификаты действуют только в течение указанного периода времени, который тоже включается в сертификат. По истечении периода действия сертификата пользователи должны запрашивать новый сертификат. При использовании сертификатов Windows Server 2003 доверяет тому, что поставщик сертификата удостоверил идентификационные данные пользователя сертификата . Сервер обозначает поставщика сертификатов как доверяемый корневой ЦС, помещая сертификат этого поставщика, подписанный его собственной подписью, в хранилище сертификатов доверяемых корневых ЦС на хост-компьютере. Для управления этими ЦС в Windows Server 2003 используется служба Certificate Services. Таким образом, ЦС несет ответственность за создание и удостоверение идентификационных данных обладателей сертификатов. Вы можете управлять службой Certificate Services с помощью консоли MMC Certification Authority (Центр сертификации).

Шаблоны сертификатов

Шаблон сертификата — это набор правил и настроек, которые применяются к запросам сертификатов. Для каждого типа сертификатов должен быть сконфигурирован шаблон сертификата. Шаблоны сертификатов можно настраивать в центрах сертификации (ЦС) предприятий Windows Server 2003, и они хранятся в Active Directory для использования всеми ЦС в домене. Это позволяет вам выбрать шаблон по умолчанию или модифицировать существующие шаблоны, чтобы создавать настраиваемые шаблоны. В Windows Server 2003 имеется несколько типов шаблонов сертификатов.

  • Server Authentication Certificates (Сертификаты для аутентификации серверов).

Используются для аутентификации серверов перед клиентами.

  • Client Authentication Certificates (Сертификаты для аутентификации клиентов).

Используются для аутентификации клиентов перед серверами.

Оцените статью
© 2024 Советы по настройке компьютера