Не толкова отдавна внедрихме решение на Windows терминален сървър. Както обикновено, те хвърлиха преки пътища за свързване към настолните компютри на служителите и казаха - работа. Но потребителите се оказаха уплашени от киберсигурността. И когато се свързвате със сървъра, виждате съобщения като: „Имате ли доверие на този сървър? Точно, точно? ”, Те се уплашиха и се обърнаха към нас - но всичко наред ли е, мога ли да щракна върху OK? Тогава беше решено да се направи всичко красиво, така че да няма въпроси или паника.

Ако вашите потребители все още идват при вас с подобни страхове и ви е писнало да отбелязвате „Не питайте отново“ - добре дошли под кот.

Нулева стъпка. Проблеми с обучението и доверието

И така, нашият потребител кликва върху записания файл с разширение .rdp и получава следната заявка:

Злонамерена връзка.

За да се отървете от този прозорец, използвайте специална помощна програма, наречена RDPSign.exe. Пълната документация е достъпна, както обикновено, на адрес официален сайт, и ще анализираме пример за употреба.

Първо трябва да вземем сертификат за подписване на файла. Той може да бъде:

• Обществен.
• Издадено от вътрешен сертифициращ орган.
• Напълно самоподписан.

Най-важното е сертификатът да има възможност за подпис (да, можете да изберете
EDS счетоводители), а клиентските компютри му се довериха. Тук ще използвам самоподписан сертификат.

Нека ви напомня, че доверието в самоподписан сертификат може да се организира с помощта на групови правила. Малко повече подробности - под спойлера.

Как да направите сертификат, доверен на магията на GPO

Първо, трябва да вземете съществуващ сертификат без частен ключ във формат .cer (това може да стане чрез експортиране на сертификата от модула за сертификати) и да го поставите в мрежова папка, която е достъпна за четене от потребителите. След това можете да конфигурирате груповите правила.

Импортирането на сертификат се конфигурира в раздела: Конфигурация на компютъра - Правила - Конфигурация на Windows - Настройки за защита - Правила за публичен ключ - Доверени главни сертифициращи органи. След това щракнете с десния бутон, за да импортирате сертификата.

Конфигурираната политика.

Клиентските компютри вече ще имат доверие на самоподписания сертификат.

Ако проблемите с доверието са разрешени, преминаваме директно към проблема с подписа.

Първа стъпка. Подписване на файла

Има сертификат, сега трябва да разберете пръстовия му отпечатък. Просто го отворете в модула „Сертификати“ и го копирайте в раздела „Състав“.

Имаме нужда от отпечатъка.

По-добре е веднага да го приведете в правилната форма - само главни букви и без интервали, ако има такива. Удобно е да направите това в конзолата на PowerShell с командата:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

След като получите печат в желания формат, можете безопасно да подпишете rdp файла:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Където .contoso.rdp е абсолютният или относителен път към нашия файл.

След като файлът е подписан, вече няма да е възможно да промените някои от параметрите през графичния интерфейс, като например името на сървъра (наистина, иначе какъв е смисълът от подписване?) И ако промените настройките с текстов редактор, тогава подписът "лети".

Сега, когато щракнете двукратно върху етикета, съобщението ще бъде различно:

Ново съобщение. Цветът е по-малко опасен, вече напредва.

Да се ​​отървем и от него.

Стъпка втора. И отново въпроси на доверието

За да се отървем от това съобщение, отново се нуждаем от групова политика. Този път пътят лежи в раздела Компютърна конфигурация - Политики - Административни шаблони - Компоненти на Windows - Услуги за отдалечен работен плот - Клиент за връзка с отдалечен работен плот - Посочете SHA1 пръстови отпечатъци на сертификати, представляващи доверени RDP издатели.

Имаме нужда от политика.

В политиката е достатъчно да добавите отпечатъка, който вече ни е познат от предишната стъпка.

Струва си да се отбележи, че това правило отменя правилото „Разрешаване на RDP файлове от валидни издатели и персонализирани RDP настройки по подразбиране“.

Конфигурираната политика.

Ето, сега без странни въпроси - само заявка за влизане и парола. Хм...

Стъпка трета. Прозрачно влизане в сървъра

Наистина, ако вече сме се упълномощили при влизане в компютъра на домейна, тогава защо трябва да въвеждаме отново същото име и парола? Нека предадем идентификационните данни на сървъра "прозрачно". В случай на прост RDP (без използване на RDS Gateway), ние ще дойдем на помощ ... Точно така, групова политика.

Отиваме в раздела: Конфигурация на компютъра - Политики - Административни шаблони - Система - Предаване на идентификационни данни - Разрешаване на прехвърлянето на идентификационни данни по подразбиране.

Тук можете да добавите необходимите сървъри към списъка или да използвате заместващ знак. Ще изглежда така TERMSRV/trm.contoso.com или УСЛОВИЯ/*.contoso.com.

Конфигурираната политика.

Сега, ако погледнем нашия етикет, той ще изглежда нещо подобно:

Не променяйте потребителското име.

Ако се използва RDS Gateway, ще трябва също да разрешите трансфер на данни през него. За да направите това, в мениджъра на IIS трябва да деактивирате анонимното удостоверяване в „Методи за удостоверяване“ и да активирате удостоверяването на Windows.

конфигуриран IIS.

Не забравяйте да рестартирате уеб услугите с командата:

iisreset /noforce

Сега всичко е наред, няма въпроси и заявки.

В анкетата могат да участват само регистрирани потребители. Впиши се, Моля те.

Кажете ми, подписвате ли RDP етикети за вашите потребители?

• 43%Не, те са обучени да натискат „OK“ в съобщения, без да четат, някои дори сами поставят отметки „Не питай отново“.28

• 29.2%Внимателно поставям етикета с ръцете си и правя първото влизане в сървъра заедно с всеки потребител.19

• 6.1%Разбира се, харесвам всичко в ред.4

• 21.5%Не използвам терминални сървъри.14

65 потребители гласуваха. 14 потребители се въздържаха.

Източник: www.habr.com