Nedavno smo implementirali rješenje na Windows terminal server. Kao i obično, bacili su prečice za povezivanje na stolove zaposlenih i rekli im da rade. Ali pokazalo se da su korisnici zastrašeni u smislu sajber sigurnosti. I kada se povezujete na server, vidite poruke poput: „Da li vjerujete ovom serveru? Tačno?”, uplašili su se i okrenuli prema nama – je li sve u redu, možemo li kliknuti na OK? Tada je odlučeno da se sve uradi lijepo, kako ne bi bilo pitanja ili panike.

Ako vam se korisnici i dalje obraćaju sa sličnim strahovima, a vi ste umorni od označavanja okvira "Ne pitaj ponovo", dobrodošli u mačku.

Korak nula. Pitanja pripreme i povjerenja

Dakle, naš korisnik klikne na sačuvani fajl sa ekstenzijom .rdp i dobije sledeći zahtev:

"Zlonamjerna" veza.

Da biste se riješili ovog prozora, koristite poseban uslužni program koji se zove RDPSign.exe. Kompletna dokumentacija dostupna je, kao i obično, na adresi službena web stranica, a mi ćemo pogledati primjer upotrebe.

Prvo, trebamo uzeti certifikat da potpišemo fajl. On može biti:

• Javno.
• Izdaje interna služba za izdavanje certifikata.
• Potpuno samopotpisan.

Najvažnije je da certifikat ima mogućnost potpisivanja (da, možete odabrati
računovođe imaju digitalne potpise), a klijentski računari su mu vjerovali. Ovdje ću koristiti samopotpisani certifikat.

Da vas podsjetim da se povjerenje u samopotpisani certifikat može organizirati korištenjem grupnih politika. Malo više detalja ispod spojlera.

Kako napraviti certifikat pouzdanim koristeći magiju GPO-a

Prvo morate preuzeti postojeći certifikat bez privatnog ključa u .cer formatu (ovo se može učiniti izvozom certifikata iz snap-ina Certifikati) i staviti ga u mrežnu mapu koju korisnici mogu čitati. Nakon toga, možete konfigurirati grupna pravila.

Uvoz sertifikata je konfigurisan u odeljku: Konfiguracija računara - Smernice - Windows konfiguracija - Bezbednosne postavke - Smernice javnog ključa - Pouzdani korenski autoriteti za sertifikaciju. Zatim kliknite desnim tasterom miša da uvezete sertifikat.

Konfigurirana politika.

Klijentski računari će sada vjerovati samopotpisanom certifikatu.

Ako su problemi povjerenja riješeni, prelazimo direktno na problem s potpisom.

Prvi korak. Potpisujemo fajl na sveobuhvatan način

Postoji sertifikat, sada morate saznati njegov otisak prsta. Samo ga otvorite u dodatku “Certificates” i kopirajte ga na karticu “Composition”.

Otisak prsta koji nam treba.

Bolje je odmah ga dovesti u odgovarajući oblik - samo velika slova i bez razmaka, ako ih ima. Ovo se zgodno može uraditi u PowerShell konzoli pomoću naredbe:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Nakon što ste dobili otisak prsta u potrebnom formatu, možete sigurno potpisati rdp datoteku:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Gdje je .contoso.rdp apsolutna ili relativna putanja do naše datoteke.

Nakon što je datoteka potpisana, više neće biti moguće mijenjati neke od parametara preko grafičkog interfejsa, kao što je naziv servera (zaista, inače koja je svrha potpisivanja?) A ako promijenite postavke uređivačom teksta, potpis “odleti”.

Sada kada dvaput kliknete na prečicu poruka će biti drugačija:

Nova poruka. Boja je manje opasna, već napreduje.

Otarasimo se i njega.

Drugi korak. I opet pitanja povjerenja

Da bismo se riješili ove poruke ponovo će nam trebati grupna pravila. Ovaj put put leži u odjeljku Konfiguracija računara - Smjernice - Administrativni predlošci - Windows komponente - Usluge udaljene radne površine - Klijent za vezu sa udaljenom radnom površinom - Navedite SHA1 otiske prstiju certifikata koji predstavljaju pouzdane RDP izdavače.

Politika koja nam je potrebna.

U politici je dovoljno dodati otisak prsta koji nam je već poznat iz prethodnog koraka.

Vrijedi napomenuti da ova politika nadjačava Dozvoli RDP datoteke od važećih izdavača i zadane prilagođene postavke RDP-a.

Konfigurirana politika.

Voila, sada nema čudnih pitanja - samo zahtjev za prijavu i lozinku. hm…

Treći korak. Transparentna prijava na server

Zaista, ako smo se već prijavili prilikom prijavljivanja na računar domene, zašto onda moramo ponovo unositi istu prijavu i lozinku? Prebacimo akreditive na server "transparentno". U slučaju jednostavnog RDP-a (bez korištenja RDS Gatewaya), ... Tako je, grupna politika će nam priskočiti u pomoć.

Idite na odjeljak: Konfiguracija računara - Smjernice - Administrativni predlošci - Sistem - Prijenos vjerodajnica - Dozvoli prijenos zadanih akreditiva.

Ovdje možete dodati tražene servere na listu ili koristiti zamjenski znak. To će izgledati TERMSRV/trm.contoso.com ili TERMSRV/*.contoso.com.

Konfigurirana politika.

Sada, ako pogledate našu etiketu, izgledat će otprilike ovako:

Korisničko ime se ne može promijeniti.

Ako koristite RDS Gateway, morat ćete također omogućiti prijenos podataka na njemu. Da biste to učinili, u IIS Manager-u, u “Metodi provjere autentičnosti” morate onemogućiti anonimnu verifikaciju i omogućiti Windows autentifikaciju.

Konfigurisan IIS.

Ne zaboravite ponovo pokrenuti web usluge kada završite s naredbom:

iisreset /noforce

Sada je sve u redu, nema pitanja i upita.

Samo registrovani korisnici mogu učestvovati u anketi. Prijavite semolim.

Recite mi da li potpisujete RDP oznake za svoje korisnike?

• 43%Ne, navikli su da kliknu na "OK" u porukama, a da ih ne pročitaju, neki čak i sami čekiraju okvire na "Ne pitaj ponovo".28

• 29.2%Pažljivo stavljam etiketu rukama i vršim prvu prijavu na server zajedno sa svakim korisnikom.19

• 6.1%Naravno, volim red u svemu.4

• 21.5%Ne koristim terminalske servere.14

Glasalo je 65 korisnika. Uzdržano je bilo 14 korisnika.

izvor: www.habr.com