企业级SSH认证:基于TPM与FIDO的MagicEndpoint安全方案
随着MagicEndpoint对企业SSH支持的推出,企业用户现在可以无缝实现“无需用户操作”的SSH服务器访问。我们的解决方案使用密钥替代密码,其中私钥受硬件保护且永不共享。这种方式比大多数仅通过软件保护密钥的SSH解决方案安全得多。
此前我曾介绍过面向Windows客户端的免费独立版SSH密钥管理器,它利用FIDO SSH密钥:https://winmagic.com/en/freeware-released-securing-ssh-access-with-magicendpoints-fido-tpm-innovation/
简而言之,当用户在Windows设备上完成本地认证后,SSH FIDO密钥即变为“可访问”状态,用户可无缝登录SSH服务器。WinMagic的MagicEndpoint独立客户端通过TPM和FIDO提供直观友好的SSH密钥管理方式。
独立版功能亮点
- 硬件根密钥:用硬件保护的SSH密钥替代密码,私钥永不共享,安全性远超软件密钥管理器
- 自动创建:自动生成绑定TPM的默认FIDO SSH密钥
- 一键生成:支持一键创建附加密钥
- 友好界面:用户友好的密钥管理界面
- 密钥备份:支持密钥备份与恢复(仅限本设备,不可共享)
安全优势
- 用户退出MagicEndpoint(或Windows账户)时,SSH密钥将无法访问
- 支持同一设备上的多用户使用
- 兼容PuTTY-CAC和微软原生OpenSSH命令行工具(ssh、scp、sftp、SSH隧道)
企业版功能
企业版在独立版基础上增加了中央控制与可见性。最佳实践要求用户不应拥有SSH服务器的常驻访问权,访问权限由MagicEndpoint服务器动态控制。
密钥生命周期管理
- 密钥生成:在终端TPM上生成密钥
- 密钥存储:密钥加密存储在PC中,使用时发送至TPM进行SSH FIDO认证
- 密钥绑定:通过TPM将密钥绑定至用户Windows设备,私钥永不以明文形式暴露
- 密钥轮换:支持手动和自动轮换(应对TPM受损情况)
- 密钥归档:在服务器端归档,私钥始终保持加密状态
- 密钥删除:TPM重置时删除私钥,用户访问权限可随时中央撤销
审计日志
MagicEndpoint服务器记录详细审计日志,包括:
- 事件类型(如认证请求)
- 时间戳
- 地理位置(SSH客户端)
- 事件源(SSH服务器名称和IP地址)
- 事件结果(成功/失败及原因)
- 关联身份信息(用户/设备/SSH服务器)
基于角色的访问控制(RBAC)
- 通过群组机制实施RBAC,将用户与特定SSH服务器关联
- 支持从Active Directory或Azure AD同步群组
- 用户权限随群组成员身份动态更新,支持最小权限原则
监控与告警
- 实时监控SSH服务器访问情况
- 支持配置异常访问尝试告警阈值
- 提供用户与终端设备的访问可见性
可配置权限策略
支持通过元数据控制SSH密钥使用条件:
| 选项 | 用途 |
|---|---|
| from=“IP/CIDR” | 限制密钥仅限特定IP使用 |
| command="…" | 强制执行特定命令 |
| no-pty | 禁用交互式shell |
| no-port-forwarding | 禁用端口转发 |
| no-agent-forwarding | 禁用代理转发 |
| environment=“VAR=VAL” | 设置会话环境变量 |
工作原理
- 用户在Windows TPM上生成新SSH密钥并命名
- 客户端向服务器注册公钥和加密私钥
- 管理员将用户添加至对应SSH服务器群组
- 用户连接SSH服务器时,服务器通过AuthorizedKeysCommand请求公钥
- 服务器验证用户权限、地理位置策略和设备安全状态
- 验证通过后提供公钥,SSH服务器通过密码学挑战完成认证
- 授予访问权限
总结
MagicEndpoint企业版为SSH访问提供与联合应用和RDP相同的无缝体验。SSH适用于Linux/Unix系统命令行访问,也可用于Windows PowerShell操作。企业可根据需求选择合适方案,MagicEndpoint均提供支持。
立即体验:
- 免费下载独立版:https://github.com/WinMagic/MagicEndpoint-FidoEazy
- 演示视频:https://youtu.be/_05ZIO6kS2Q