منذ وقت ليس ببعيد ، قمنا بتنفيذ حل على خادم طرفية يعمل بنظام Windows. كالعادة ، ألقوا اختصارات للاتصال بأجهزة كمبيوتر الموظفين ، وقالوا - العمل. لكن تبين فيما بعد أن الأمن السيبراني يخيف المستخدمين. وعند الاتصال بالخادم ، تظهر رسائل مثل: "هل تثق بهذا الخادم؟ بالضبط ، بالضبط؟ ثم تقرر القيام بكل شيء بشكل جميل ، حتى لا يكون هناك أسئلة أو ذعر.

إذا كان المستخدمون لا يزالون يأتون إليك بمخاوف مماثلة ، وقد سئمت من وضع علامة "لا تسأل مرة أخرى" - مرحبًا بك تحت القط.

الخطوة الصفرية. قضايا التدريب والثقة

لذلك ، ينقر مستخدمنا على الملف المحفوظ بامتداد .rdp ويتلقى الطلب التالي:

اتصال ضار.

للتخلص من هذه النافذة ، استخدم أداة مساعدة خاصة تسمى ملف RDPSign.exe. الوثائق الكاملة متاحة ، كالعادة ، على الموقع الرسمي، وسنقوم بتحليل مثال على الاستخدام.

نحتاج أولاً إلى الحصول على شهادة للتوقيع على الملف. يستطيع أن يكون:

• عام.
• صادر عن مرجع مصدق داخلي.
• موقعة ذاتيا بالكامل.

أهم شيء هو أن الشهادة لديها القدرة على التوقيع (نعم ، يمكنك الاختيار
EDS) ، وثقت به أجهزة كمبيوتر العميل. هنا سأستخدم شهادة موقعة ذاتيًا.

دعني أذكرك أنه يمكن تنظيم الثقة في شهادة موقعة ذاتيًا باستخدام سياسات المجموعة. مزيد من التفاصيل - تحت المفسد.

كيفية جعل شهادة موثوق بها مع سحر GPO

أولاً ، تحتاج إلى الحصول على شهادة موجودة بدون مفتاح خاص بتنسيق .cer (يمكن القيام بذلك عن طريق تصدير الشهادة من الأداة الإضافية للشهادات) ووضعها في مجلد شبكة يمكن للمستخدمين الوصول إليه لقراءته. بعد ذلك ، يمكنك تكوين "نهج المجموعة".

يتم تكوين استيراد الشهادة في القسم: تكوين الكمبيوتر - السياسات - تكوين Windows - إعدادات الأمان - سياسات المفاتيح العامة - سلطات مصادقة الجذر الموثوقة. بعد ذلك ، انقر بزر الماوس الأيمن لاستيراد الشهادة.

السياسة التي تم تكوينها.

ستثق أجهزة الكمبيوتر العميلة الآن في الشهادة الموقعة ذاتيًا.

إذا تم حل مشكلات الثقة ، فسننتقل مباشرةً إلى مشكلة التوقيع.

الخطوةالاولى. توقيع الملف بشكل شامل

هناك شهادة ، الآن تحتاج إلى معرفة بصمة إصبعها. ما عليك سوى فتحه في الأداة الإضافية "الشهادات" وانسخه في علامة التبويب "التكوين".

نحن بحاجة إلى البصمة.

من الأفضل إحضارها على الفور إلى الشكل المناسب - فقط بأحرف كبيرة وبدون مسافات ، إن وجدت. من المريح القيام بذلك في وحدة تحكم PowerShell باستخدام الأمر:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

بعد تلقي الطباعة بالتنسيق المطلوب ، يمكنك توقيع ملف rdp بأمان:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

حيث .contoso.rdp هو المسار المطلق أو النسبي لملفنا.

بعد توقيع الملف ، لن يكون من الممكن تغيير بعض المعلمات من خلال الواجهة الرسومية ، مثل اسم الخادم (حقًا ، وإلا فما الهدف من التوقيع؟) وإذا قمت بتغيير الإعدادات باستخدام محرر نصوص ، ثم التوقيع "يطير".

الآن ، عند النقر نقرًا مزدوجًا فوق التسمية ، ستكون الرسالة مختلفة:

رسالة جديدة. اللون أقل خطورة ، بالفعل تقدم.

دعونا نتخلص منه أيضًا.

الخطوة الثانية. ومرة أخرى أسئلة الثقة

للتخلص من هذه الرسالة ، نحتاج مرة أخرى إلى سياسة المجموعة. هذه المرة يكمن الطريق في قسم تكوين الكمبيوتر - السياسات - القوالب الإدارية - مكونات Windows - خدمات سطح المكتب البعيد - عميل اتصال سطح المكتب البعيد - حدد بصمات SHA1 للشهادات التي تمثل ناشري RDP الموثوق بهم.

نحن بحاجة إلى سياسة.

في السياسة ، يكفي إضافة بصمة مألوفة لنا بالفعل من الخطوة السابقة.

تجدر الإشارة إلى أن هذه السياسة تلغي سياسة "السماح لملفات RDP من ناشرين صالحين وإعدادات RDP الافتراضية المخصصة".

السياسة التي تم تكوينها.

Voila ، الآن لا توجد أسئلة غريبة - فقط طلب كلمة مرور لتسجيل الدخول. جلالة ...

الخطوة الثالثة. شفاف تسجيل الدخول إلى الخادم

في الواقع ، إذا قمنا بالفعل بتسجيل الدخول إلى كمبيوتر المجال ، فلماذا نحتاج إلى إعادة إدخال نفس تسجيل الدخول وكلمة المرور؟ دعونا نمرر أوراق الاعتماد إلى الخادم "بشفافية". في حالة RDP البسيط (بدون استخدام بوابة RDS) ، سنأتي لإنقاذ ... هذا صحيح ، سياسة المجموعة.

نذهب إلى القسم: تكوين الكمبيوتر - السياسات - القوالب الإدارية - النظام - بيانات اعتماد المرور - السماح بنقل بيانات الاعتماد الافتراضية.

هنا يمكنك إضافة الخوادم الضرورية إلى القائمة أو استخدام حرف بدل. سيبدو TERMSRV / trm.contoso.com أو TERMSRV /*.contoso.com.

السياسة التي تم تكوينها.

الآن ، إذا نظرت إلى الملصق الخاص بنا ، سيبدو مثل هذا:

لا تغير اسم المستخدم.

إذا تم استخدام بوابة RDS ، فستحتاج أيضًا إلى السماح بنقل البيانات عليها. للقيام بذلك ، في مدير IIS ، تحتاج إلى تعطيل المصادقة المجهولة في "أساليب المصادقة" وتمكين مصادقة Windows.

تكوين IIS.

لا تنس إعادة تشغيل خدمات الويب بالأمر:

iisreset /noforce

الآن كل شيء على ما يرام ، لا أسئلة وطلبات.

يمكن للمستخدمين المسجلين فقط المشاركة في الاستطلاع. تسجيل الدخول، من فضلك.

أخبرني ، هل توقع على تسميات RDP لمستخدميك؟

• 43%لا ، لقد تم تدريبهم على الضغط على "موافق" في الرسائل دون القراءة ، بل إن بعضهم وضع مربعات الاختيار "لا تسأل مرة أخرى" بأنفسهم. 28

• 29.2%أضع الملصق بيدي بعناية وأقوم بتسجيل الدخول الأول إلى الخادم مع كل مستخدم

• 6.1%بالطبع ، أنا أحب كل شيء بالترتيب 4

• 21.5%أنا لا أستخدم الخوادم الطرفية 14

صوت 65 مستخدمين. امتنع 14 مستخدما عن التصويت.

المصدر: www.habr.com