Nie so lank gelede nie, het ons 'n oplossing op 'n Windows-terminale bediener geïmplementeer. Soos gewoonlik het hulle kortpaaie gegooi om aan die rekenaars van werknemers te koppel en gesê - werk. Maar gebruikers het blykbaar geïntimideer deur kuberveiligheid. En wanneer u aan die bediener koppel, sien u boodskappe soos: “Vertrou jy hierdie bediener? Presies, presies?”, Hulle het bang geword en na ons gedraai - maar is alles reg, kan ek op OK klik? Toe is besluit om alles mooi te doen, sodat daar geen vrae of paniek sal wees nie.
As jou gebruikers steeds met soortgelyke vrese na jou toe kom, en jy is moeg daarvoor om "Moenie weer vra nie" - welkom onder kat.
Nul stap. Opleiding en vertroue kwessies
Dus, ons gebruiker klik op die gestoorde lêer met die .rdp-uitbreiding en ontvang die volgende versoek:
Kwaadwillige verbinding.
Om van hierdie venster ontslae te raak, gebruik 'n spesiale nutsprogram genaamd RDPSign.exe. Volledige dokumentasie is soos gewoonlik beskikbaar by
Eerstens moet ons 'n sertifikaat neem om die lêer te onderteken. Hy kan wees:
- Publiek.
- Uitgereik deur 'n interne sertifikaatowerheid.
- Heeltemal selfonderteken.
Die belangrikste ding is dat die sertifikaat die vermoë het om te teken (ja, jy kan kies
EDS-rekenmeesters), en kliënterekenaars het hom vertrou. Hier sal ek 'n selfgetekende sertifikaat gebruik.
Laat ek jou herinner dat vertroue in 'n self-ondertekende sertifikaat georganiseer kan word deur groepbeleide te gebruik. 'n Bietjie meer besonderhede - onder die bederf.
Hoe om 'n sertifikaat te maak wat vertrou word met die magie van GPO
Eerstens moet jy 'n bestaande sertifikaat sonder 'n private sleutel in .cer-formaat neem (dit kan gedoen word deur die sertifikaat uit die Sertifikate-snap-in uit te voer) en dit in 'n netwerklêergids plaas wat toeganklik is vir gebruikers om te lees. Daarna kan u Groepbeleid instel.
Die invoer van 'n sertifikaat word gekonfigureer in die afdeling: Rekenaarkonfigurasie - Beleide - Windows-konfigurasie - Sekuriteitsinstellings - Publieke sleutelbeleide - Vertroude wortelsertifiseringsowerhede. Klik dan met die rechtermuisknop om die sertifikaat in te voer.
Die gekonfigureerde beleid.
Die kliëntrekenaars sal nou die selfondertekende sertifikaat vertrou.
As die trustkwessies opgelos word, gaan ons direk na die handtekeningkwessie.
Stap een. Ondertekening van die lêer
Daar is 'n sertifikaat, nou moet jy die vingerafdruk daarvan uitvind. Maak dit net oop in die "Sertifikate"-snap-in en kopieer dit op die "Composition"-oortjie.
Ons het die afdruk nodig.
Dit is beter om dit dadelik in die regte vorm te bring - slegs hoofletters en sonder spasies, indien enige. Dit is gerieflik om dit in die PowerShell-konsole te doen met die opdrag:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Nadat u 'n afdruk in die verlangde formaat ontvang het, kan u die rdp-lêer veilig onderteken:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Waar .contoso.rdp die absolute of relatiewe pad na ons lêer is.
Nadat die lêer onderteken is, sal dit nie meer moontlik wees om sommige van die parameters deur die grafiese koppelvlak te verander nie, soos die bedienernaam (regtig, anders is dit die punt van ondertekening?) En as jy die instellings met 'n teksredigeerder verander, dan "vlieg" die handtekening.
Nou, wanneer jy op die etiket dubbelklik, sal die boodskap anders wees:
'n Nuwe boodskap. Die kleur is minder gevaarlik, vorder reeds.
Kom ons raak ook van hom ontslae.
Stap twee. En weer vrae van vertroue
Om van hierdie boodskap ontslae te raak, het ons weer 'n groepbeleid nodig. Hierdie keer lê die pad in die afdeling Rekenaaropstelling - Beleide - Administratiewe sjablone - Windows-komponente - Remote Desktop Services - Remote Desktop Connection Client - Spesifiseer SHA1-vingerafdrukke van sertifikate wat betroubare RDP-uitgewers verteenwoordig.
Ons het 'n beleid nodig.
In die beleid is dit genoeg om die afdruk by te voeg wat reeds vir ons van die vorige stap bekend is.
Dit is opmerklik dat hierdie beleid die beleid "Laat RDP-lêers van geldige uitgewers en pasgemaakte verstek-HOP-instellings toe"-beleid ignoreer.
Die gekonfigureerde beleid.
Voila, nou geen vreemde vrae nie - slegs 'n aanmeldwagwoordversoek. Hm…
Stap drie. Deursigtige aanmelding by die bediener
Inderdaad, as ons onsself reeds gemagtig het toe ons by die domeinrekenaar aanmeld, hoekom moet ons dan weer dieselfde aanmelding en wagwoord invoer? Kom ons gee die geloofsbriewe "deursigtig" aan die bediener deur. In die geval van eenvoudige RDP (sonder die gebruik van RDS Gateway), sal ons tot die redding kom ... Dis reg, groepbeleid.
Ons gaan na die afdeling: Rekenaaropstelling - Beleide - Administratiewe sjablone - Stelsel - Gee geloofsbriewe - Laat die oordrag van verstek geloofsbriewe toe.
Hier kan jy die nodige bedieners by die lys voeg of 'n jokerteken gebruik. Dit sal lyk TERMSRV/trm.contoso.com of VOORWAARDE/*.contoso.com.
Die gekonfigureerde beleid.
Nou, as jy na ons etiket kyk, sal dit iets soos volg lyk:
Moenie die gebruikersnaam verander nie.
As RDS Gateway gebruik word, sal jy ook data-oordrag daarop moet toelaat. Om dit te doen, in die IIS-bestuurder, moet u anonieme verifikasie deaktiveer in die "Authentication Methods" en Windows-verifikasie aktiveer.
gekonfigureerde IIS.
Moenie vergeet om die webdienste weer te begin met die opdrag nie:
iisreset /noforce
Nou is alles reg, geen vrae en versoeke nie.
Slegs geregistreerde gebruikers kan aan die opname deelneem.
Sê vir my, teken jy HOP-etikette vir jou gebruikers?
-
43%Nee, hulle is opgelei om "OK" in boodskappe te druk sonder om te lees, sommige plaas selfs "Moenie weer vra nie" merkblokkies self.28
-
29.2%Ek plaas die etiket versigtig met my hande en maak die eerste aanmelding op die bediener saam met elke gebruiker.19
-
6.1%Natuurlik hou ek van alles in orde.4
-
21.5%Ek gebruik nie terminale bedieners nie.14
65 gebruikers het gestem. 14 gebruikers het buite stemming gebly.
Bron: will.com