RDP証明書の変更の背後にある理由を見つける(中間者攻撃?)
ファイアウォール、スイッチ、VLANなどの新しいネットワーク機器をいくつかインストールしました。疑惑によって害を与えたくないので、ここではブランド名については触れません。
これを行った直後、指紋の変更を求められることなく、LAN内のサーバーにRDPを実行できました。
しかし、ある日、同じサーバーに接続しようとすると、指紋が変更されたため、新しい証明書を受け入れるように求められます。
新しいネットワーク機器が、変更された証明書を受け入れるように求められているという事実を除いて、他の方法では透過的な方法でRDPセッションを傍受することにより、サーバーの資格情報を収集しようとしているのではないかと疑っています。
この指紋の変更のソースが、接続しているサーバーで発生したものであり、新しいネットワーク機器が中間者攻撃を行ってネットワーク上の資格情報をカタログ化しようとしていることが原因ではないことを確認するにはどうすればよいですか(気にしないでください)?
これは、最初にサーバー自体の証明書を調査することで単一のデバイスに絞り込むことができます(現在の証明書を取得するには、コンソールとRDPローカルホストにアクセスします)。次に、クライアントコンピューターを使用して、一度に1つのネットワークデバイスを遠くに移動します。
原因を見つけたら、構成を調べます。これは、誤ってオンにした正当な機能である可能性があります。