Неотдавна внедрихме решение на терминален сървър WindowsКакто обикновено, поставихме преки пътища на работните плотове на служителите и им казахме да се захващат за работа. Но потребителите бяха сплашени от киберсигурността. Когато се свързваха със сървъра, те виждаха съобщения като „Доверявате ли се на този сървър? Сигурни ли сте?“ и се уплашиха и ни попитаха дали всичко е наред и дали могат да кликнат върху OK. Затова решихме да го направим да изглежда по-приятно, за да избегнем всякакви въпроси или паника.
Ако вашите потребители все още идват при вас с подобни страхове и ви е писнало да отбелязвате „Не питайте отново“ - добре дошли под кот.
Нулева стъпка. Проблеми с обучението и доверието
И така, нашият потребител кликва върху записания файл с разширение .rdp и получава следната заявка:
Злонамерена връзка.
За да се отървете от този прозорец, използвайте специална помощна програма, наречена RDPSign.exe. Пълната документация е достъпна, както обикновено, на адрес , и ще анализираме пример за употреба.
Първо трябва да вземем сертификат за подписване на файла. Той може да бъде:
- Обществен.
- Издадено от вътрешен сертифициращ орган.
- Напълно самоподписан.
Най-важното е сертификатът да има възможност за подпис (да, можете да изберете
EDS счетоводители), а клиентските компютри му се довериха. Тук ще използвам самоподписан сертификат.
Нека ви напомня, че доверието в самоподписан сертификат може да се организира с помощта на групови правила. Малко повече подробности - под спойлера.
Как да направите сертификат, доверен на магията на GPO
Първо, трябва да вземете съществуващ сертификат без частен ключ във формат .cer (това може да стане чрез експортиране на сертификата от модула за сертификати) и да го поставите в мрежова папка, която е достъпна за четене от потребителите. След това можете да конфигурирате груповите правила.
Импортирането на сертификати се конфигурира в раздела: Конфигурация на компютъра - Политики - Конфигурация Windows — Настройки за сигурност — Политики за публични ключове — Доверени коренни сертифициращи органи. След това щракнете с десния бутон върху сертификата и импортирайте го.
Конфигурираната политика.
Клиентските компютри вече ще имат доверие на самоподписания сертификат.
Ако проблемите с доверието са разрешени, преминаваме директно към проблема с подписа.
Първа стъпка. Подписване на файла
Има сертификат, сега трябва да разберете пръстовия му отпечатък. Просто го отворете в модула „Сертификати“ и го копирайте в раздела „Състав“.
Имаме нужда от отпечатъка.
По-добре е веднага да го приведете в правилната форма - само главни букви и без интервали, ако има такива. Удобно е да направите това в конзолата на PowerShell с командата:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
След като получите печат в желания формат, можете безопасно да подпишете rdp файла:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Където .contoso.rdp е абсолютният или относителен път към нашия файл.
След като файлът е подписан, вече няма да е възможно да промените някои от параметрите през графичния интерфейс, като например името на сървъра (наистина, иначе какъв е смисълът от подписване?) И ако промените настройките с текстов редактор, тогава подписът "лети".
Сега, когато щракнете двукратно върху етикета, съобщението ще бъде различно:
Ново съобщение. Цветът е по-малко опасен, вече напредва.
Да се отървем и от него.
Стъпка втора. И отново въпроси на доверието
За да се отървем от това съобщение, ще ни трябват отново групови правила. Този път пътят е в Компютърна конфигурация - Политики - Административни шаблони - Компоненти. Windows — Услуги за отдалечен работен плот — Клиент за връзка с отдалечен работен плот — Посочете SHA1 пръстови отпечатъци на сертификати, представляващи надеждни издатели на RDP.
Имаме нужда от политика.
В политиката е достатъчно да добавите отпечатъка, който вече ни е познат от предишната стъпка.
Струва си да се отбележи, че това правило отменя правилото „Разрешаване на RDP файлове от валидни издатели и персонализирани RDP настройки по подразбиране“.
Конфигурираната политика.
Ето, сега без странни въпроси - само заявка за влизане и парола. Хм...
Стъпка трета. Прозрачно влизане в сървъра
Наистина, ако вече сме се упълномощили при влизане в компютъра на домейна, тогава защо трябва да въвеждаме отново същото име и парола? Нека предадем идентификационните данни на сървъра "прозрачно". В случай на прост RDP (без използване на RDS Gateway), ние ще дойдем на помощ ... Точно така, групова политика.
Отиваме в раздела: Конфигурация на компютъра - Политики - Административни шаблони - Система - Предаване на идентификационни данни - Разрешаване на прехвърлянето на идентификационни данни по подразбиране.
Тук можете да добавите необходимите сървъри към списъка или да използвате заместващ знак. Ще изглежда така TERMSRV/trm.contoso.com или УСЛОВИЯ/*.contoso.com.
Конфигурираната политика.
Сега, ако погледнем нашия етикет, той ще изглежда нещо подобно:
Не променяйте потребителското име.
Ако използвате RDS Gateway, ще трябва да активирате и преноса на данни. За да направите това, в IIS Manager, под „Методи за удостоверяване“, деактивирайте анонимното удостоверяване и активирайте удостоверяването. Windows.
конфигуриран IIS.
Не забравяйте да рестартирате уеб услугите с командата:
iisreset /noforce
Сега всичко е наред, няма въпроси и заявки.
В анкетата могат да участват само регистрирани потребители. , Моля те.
Кажете ми, подписвате ли RDP етикети за вашите потребители?
43%Не, те са обучени да натискат „OK“ в съобщения, без да четат, някои дори сами поставят отметки „Не питай отново“.28
29.2%Внимателно поставям етикета с ръцете си и правя първото влизане в сървъра заедно с всеки потребител.19
6.1%Разбира се, харесвам всичко в ред.4
21.5%Не използвам терминални сървъри.14
65 потребители гласуваха. 14 потребители се въздържаха.
Източник: www.habr.com
