2020年9月26日 星期六

windows 2016 套用GCB 政府組態基準543

 政府單位近年對資安要求日益嚴格,不管是主機還是AP面都花了大錢買了一般人買不起的工具在監控稽核,但小廠商怎麼可能有預算先花幾百萬買黑白箱掃瞄或主機稽核工具,然後再每年花幾百萬買MA呢?一個專案的預算也就幾百萬甚至不到百萬,哪裡買得起。所以免費的開源的都要不斷的找尋找尋再找尋,呵呵。

最近弄了幾台windows 2016的GCB套用(https://www.nccst.nat.gov.tw/GCB),以前一直不想套用,大概就將主機升級到更新的OS版本,因為無GCB可套用,所以也就當視而不見的免了這些 稽核。但終究不是辦法,該面對的還是得要面對,

現在套用後,遇到了一些問題。

1.無法遠端登入,因為GCB禁止本機帳戶進行遠端登入。為了測試方便,先手動開啟。

 gpedit.msc>Windows設定>安全性設定>本機原則>使用者權限指派>拒絕本機登入移除本機帳戶即可。

2.原系統中有使用於不相容FIPS容許的演算法都會顯示此『實作不屬於 Windows Platform FIPS 已驗證密碼編譯演算法的一部分』,因為gpedit.msc>Windows設定>安全性設定>本機原則>安全性選項>『系統密碼編譯:使用FIPS相容演算法於加密,雜湊,以及簽章』啟用。

這個就AP面將有使用加解密的演算法調整符合FIPS規定 ,例如MD5加密改寫使用SHA256以上。

但有個很老很老的系統,是用VS2005 net framework 2.0開發,主要是讀ReportServer 上server report(RDL)做報表資料呈現,FIPS問題就將網站升級為 net framework 4.5就解決了。

但可以登入後,在連線到報表伺服器時雖已採用了impersonate 的方式模擬主機使用者做windows驗證。現在套了GCB後,出現以下訊息

An exception of type 'System.Net.WebException' occurred in Microsoft.ReportViewer.Common.dll but was not handled in user code

Additional information: 要求失敗,HTTP 狀態 401 : Unauthorized。

System.Net.WebException was unhandled by user code
  HResult=-2146233079
  Message=要求失敗,HTTP 狀態 401 : Unauthorized。
  Source=Microsoft.ReportViewer.Common
  StackTrace:
       於 Microsoft.SqlServer.ReportingServices2005.Execution.RSExecutionConnection.GetSecureMethods()
       於 Microsoft.SqlServer.ReportingServices2005.Execution.RSExecutionConnection.IsSecureMethod(String methodname)
       於 Microsoft.SqlServer.ReportingServices2005.Execution.RSExecutionConnection.LoadReport(String Report, String HistoryID)
       於 Microsoft.Reporting.WebForms.ServerReport.GetExecutionInfo()
       於 Microsoft.Reporting.WebForms.ServerReport.GetParameters()
       於 newMOJBIS._default.Page_Load(Object sender, EventArgs e) 於 ...\default.aspx.vb: 行 20
       於 System.Web.UI.Control.OnLoad(EventArgs e)
       於 System.Web.UI.Control.LoadRecursive()
       於 System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)
  InnerException:

 但直接用模擬的windows帳號登入ReportServer卻是沒有問題,可正常顯示報表資料。

 至今尚未找到解決方式.........待續

 

 

標籤: ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)

publish error allowDefinition='MachineToApplication'

一個老舊的aspx web form專案,調了一些功能建置成功,但進行部署時顯示以下錯誤。 在應用程式層級之外使用註冊為 allowDefinition='MachineToApplication' 的區段發生錯誤。錯誤的原因可能是虛擬目錄尚未在 IIS 中設定為...

  • 免費的白箱檢測工具puma scan
    上網找了免費的白箱檢測工具,找到了 puma scan 因為支援OWASP TOP 10的檢測,所以這是一個符合客戶需求又能與Visual studio結合的工具(白話說...交差了事矣....) 更重要的是這不用錢....檢測工具都貴森森的,尤其是源碼檢測工具。 ht...
  • 遠端工作階段中斷因為沒有提供授權的遠端桌面授權伺服器可以使用
    在一台windows 2016的主機上,某一天,用遠端登入後,出現了以下的訊息.... 遠端工作階段中斷,因為沒有提供授權的遠端桌面授權伺服器可以使用。請連伺服器系統管理員。 這啥啊........... 想不到,在MOBILE01找到了解決...........哈哈...
  • SQL Server MINUS and INTERSECT
    SQL Server 2005 後,提供EXCEP 和INTERSECT, 功能和ORACLE的MINUS, INTERSECT相同 EXCEP 找出存在於第一個子集,但不存在於第二個子集的筆數 INTERSECT 找出皆存在於二個子集中的筆數 這二個方法很方便查找有多...