Bir müddət əvvəl biz Windows terminal serverində bir həll tətbiq etdik. Həmişə olduğu kimi, işçilərin iş masalarına qoşulmaq üçün qısa yollar atdılar və dedilər - işlə. Lakin istifadəçiləri Cybersecurity ilə qorxutduğu ortaya çıxdı. Serverə qoşulduqda belə mesajlar görünür: “Bu serverə etibar edirsiniz? Dəqiq, dəqiq? ”, Qorxdular və bizə tərəf döndülər - amma hər şey qaydasındadır, OK düyməsini basa bilərəm? Sonra hər şeyi gözəl etmək qərara alındı ki, heç bir sual və panika olmasın.
Əgər istifadəçiləriniz hələ də sizə oxşar qorxularla gəlirsə və siz “Bir daha soruşma” işarəsini vurmaqdan bezmisinizsə - pişik altında xoş gəlmisiniz.
Sıfır addım. Təlim və Güvən Problemləri
Beləliklə, istifadəçimiz .rdp uzantılı saxlanmış fayla klikləyir və aşağıdakı sorğunu alır:
Zərərli əlaqə.
Bu pəncərədən xilas olmaq üçün adlı xüsusi yardım proqramından istifadə edin RDPSign.exe. Tam sənədlər, həmişə olduğu kimi, burada mövcuddur
Əvvəlcə faylı imzalamaq üçün sertifikat almalıyıq. O ola bilər:
- İctimai.
- Daxili Sertifikat Təşkilatı tərəfindən verilir.
- Tamamilə özünü imzalayır.
Ən əsası odur ki, sertifikatın imzalamaq imkanı var (bəli, seçə bilərsiniz
EDS mühasibləri) və müştəri kompüterləri ona etibar etdilər. Burada özüm imzalanmış sertifikatdan istifadə edəcəyəm.
Nəzərinizə çatdırım ki, öz-özünə imzalanmış sertifikata etibar qrup siyasətlərindən istifadə etməklə təşkil edilə bilər. Bir az daha ətraflı - spoylerin altında.
GPO-nun Sehrinə Etibarlı Sertifikatı Necə etmək olar
Əvvəlcə .cer formatında şəxsi açarı olmayan mövcud sertifikatı götürməlisiniz (bu, Sertifikatların əlavə elementindən sertifikatı ixrac etməklə edilə bilər) və onu istifadəçilərin oxuması üçün əlçatan olan şəbəkə qovluğuna yerləşdirməlisiniz. Bundan sonra siz Qrup Siyasətini konfiqurasiya edə bilərsiniz.
Sertifikat idxalı bölmədə konfiqurasiya edilir: Kompüter Konfiqurasiyası - Siyasətlər - Windows Konfiqurasiyası - Təhlükəsizlik Parametrləri - İctimai Açar Siyasətləri - Etibarlı Kök Sertifikatlaşdırma Səlahiyyətliləri. Sonra, sertifikatı idxal etmək üçün sağ klikləyin.
Konfiqurasiya edilmiş siyasət.
Müştəri kompüterləri indi öz-özünə imzalanmış sertifikata etibar edəcəklər.
Etibar məsələləri həll olunarsa, birbaşa imza məsələsinə keçirik.
Birinci addım. Faylı geniş şəkildə imzalayır
Sertifikat var, indi onun barmaq izini tapmaq lazımdır. Sadəcə onu "Sertifikatlar" bölməsində açın və "Tərkibi" sekmesine köçürün.
Bizə iz lazımdır.
Dərhal onu düzgün formaya gətirmək daha yaxşıdır - yalnız böyük hərflər və varsa, boşluqlar olmadan. Bunu PowerShell konsolunda əmrlə etmək rahatdır:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
İstədiyiniz formatda çap aldıqdan sonra rdp faylını etibarlı şəkildə imzalaya bilərsiniz:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Burada .contoso.rdp faylımız üçün mütləq və ya nisbi yoldur.
Fayl imzalandıqdan sonra artıq qrafik interfeys vasitəsilə bəzi parametrləri, məsələn, server adı dəyişdirmək mümkün olmayacaq (həqiqətən, əks halda imzalamağın mənası nədir?) Və parametrləri mətn redaktoru ilə dəyişdirsəniz, sonra imza "uçur".
İndi etiketə iki dəfə kliklədiyiniz zaman mesaj fərqli olacaq:
Yeni mesaj. Rəng daha az təhlükəlidir, artıq irəliləyir.
Gəlin ondan da qurtulaq.
İkinci addım. Və yenə etimad sualları
Bu mesajdan xilas olmaq üçün yenidən qrup siyasətinə ehtiyacımız var. Bu dəfə yol Kompüter Konfiqurasiyası - Siyasətlər - İnzibati Şablonlar - Windows Komponentləri - Uzaq Masaüstü Xidmətləri - Uzaq Masaüstü Bağlantı Müştərisi - Etibarlı RDP naşirlərini təmsil edən sertifikatların SHA1 barmaq izlərini göstərin.
Bizə siyasət lazımdır.
Siyasətdə əvvəlki addımdan bizə tanış olan izi əlavə etmək kifayətdir.
Qeyd etmək lazımdır ki, bu siyasət "Etibarlı naşirlərdən RDP fayllarına və fərdi defolt RDP parametrlərinə icazə verin" siyasətini ləğv edir.
Konfiqurasiya edilmiş siyasət.
Voila, indi qəribə suallar yoxdur - yalnız giriş-parol sorğusu. Hm...
Üçüncü addım. Serverə şəffaf giriş
Həqiqətən, əgər biz artıq domen kompüterinə daxil olmuşuqsa, o zaman niyə eyni giriş və şifrəni yenidən daxil etməliyik? Gəlin etimadnamələri serverə “şəffaf” ötürək. Sadə RDP vəziyyətində (RDS Gateway istifadə etmədən) biz xilasetmə işinə gələcəyik ... Düzdür, qrup siyasəti.
Bölməyə gedirik: Kompüter Konfiqurasiyası - Siyasətlər - İnzibati Şablonlar - Sistem - Etibarnamələrin ötürülməsi - Defolt etimadnamələrin ötürülməsinə icazə verin.
Burada lazımi serverləri siyahıya əlavə edə və ya joker işarədən istifadə edə bilərsiniz. kimi görünəcək TERMSRV/trm.contoso.com və ya TERMSRV/*.contoso.com.
Konfiqurasiya edilmiş siyasət.
İndi etiketimizə baxsaq, belə görünəcək:
İstifadəçi adını dəyişməyin.
RDS Gateway istifadə edilərsə, siz də onun üzərində məlumat ötürülməsinə icazə verməli olacaqsınız. Bunu etmək üçün, IIS Menecerində, "Autentifikasiya Metodları" bölməsində anonim autentifikasiyanı söndürün və Windows autentifikasiyasını aktivləşdirin.
konfiqurasiya edilmiş IIS.
Komanda ilə veb xidmətlərini yenidən başlatmağı unutmayın:
iisreset /noforce
İndi hər şey qaydasındadır, heç bir sual və sorğu yoxdur.
Sorğuda yalnız qeydiyyatdan keçmiş istifadəçilər iştirak edə bilər.
Mənə deyin, istifadəçiləriniz üçün RDP etiketlərinə imza atırsınız?
-
43%Xeyr, onlar mesajlarda oxumadan “OK” düyməsini sıxmağı öyrədirlər, bəziləri hətta “Bir daha soruşma” qutularını özləri qoyurlar.28
-
29.2%Etiketi diqqətlə əllərimlə yerləşdirirəm və hər bir istifadəçi ilə birlikdə serverə ilk girişi edirəm.19
-
6.1%Təbii ki, hər şeyi qaydasında bəyənirəm.4
-
21.5%Mən terminal serverlərindən istifadə etmirəm.14
65 istifadəçi səs verib. 14 istifadəçi bitərəf qalıb.
Mənbə: www.habr.com