No fa molt que vam implementar una solució en un servidor de terminals de Windows. Com és habitual, van llançar dreceres de connexió als escriptoris dels empleats i els van dir que treballessin. Però els usuaris van resultar intimidats pel que fa a la ciberseguretat. I quan et connectes al servidor, veus missatges com: "Confies en aquest servidor? Exactament?”, es van espantar i es van girar cap a nosaltres: està tot bé, podem fer clic a D'acord? Aleshores es va decidir fer-ho tot molt bé, perquè no hi hagués preguntes ni pànic.
Si els vostres usuaris encara us venen amb pors similars i esteu cansat de marcar la casella "No tornis a preguntar", benvingut al gat.
Pas zero. Problemes de preparació i confiança
Així, el nostre usuari fa clic al fitxer desat amb l'extensió .rdp i rep la següent sol·licitud:
Connexió "maliciosa"..
Per desfer-se d'aquesta finestra, utilitzeu una utilitat especial anomenada RDPSign.exe. La documentació completa està disponible, com és habitual, a
En primer lloc, hem de portar un certificat per signar el fitxer. Ell pot ser:
- Públic.
- Emès pel servei intern de l'Autoritat de Certificació.
- Completament autosignat.
El més important és que el certificat tingui la possibilitat de ser signat (sí, podeu seleccionar
els comptables tenen signatures digitals) i els ordinadors dels clients confiaven en ell. Aquí faré servir un certificat autofirmat.
Us recordo que la confiança en un certificat autofirmat es pot organitzar mitjançant polítiques de grup. Hi ha una mica més de detalls sota l'aleró.
Com fer que un certificat sigui de confiança mitjançant la màgia de GPO
En primer lloc, cal agafar el certificat existent sense la clau privada en format .cer (això es pot fer exportant el certificat des del complement Certificats) i posar-lo en una carpeta de xarxa que els usuaris puguin llegir. Després d'això, podeu configurar la política de grup.
La importació de certificats es configura a la secció: Configuració de l'ordinador - Polítiques - Configuració de Windows - Configuració de seguretat - Polítiques de clau pública - Autoritats de certificació arrel de confiança. A continuació, feu clic amb el botó dret per importar el certificat.
Política configurada.
Els ordinadors client ara confiaran en el certificat autofirmat.
Si es resolen els problemes de confiança, passem directament al problema de la signatura.
Pas 1. Signem l'expedient de manera contundent
Hi ha un certificat, ara cal esbrinar la seva empremta digital. Només heu d'obrir-lo al complement "Certificats" i copiar-lo a la pestanya "Composició".
L'empremta digital que necessitem.
És millor portar-lo immediatament a la forma adequada: només majúscules i sense espais, si n'hi ha. Això es pot fer còmodament a la consola de PowerShell amb l'ordre:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Després d'haver rebut l'empremta digital en el format requerit, podeu signar el fitxer rdp amb seguretat:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
On .contoso.rdp és el camí d'accés absolut o relatiu al nostre fitxer.
Un cop signat el fitxer, ja no serà possible canviar alguns dels paràmetres a través de la interfície gràfica, com ara el nom del servidor (de veritat, si no, quin sentit té signar?) I si canvieu la configuració amb un editor de text, la signatura "vola fora".
Ara, quan feu doble clic a la drecera, el missatge serà diferent:
Un missatge nou. El color és menys perillós, ja progressa.
Desfer-nos també d'ell.
Segon pas. I de nou preguntes de confiança
Per desfer-nos d'aquest missatge tornarem a necessitar la Política de grup. Aquesta vegada el camí passa a l'apartat Configuració de l'ordinador - Polítiques - Plantilles administratives - Components de Windows - Serveis d'escriptori remot - Client de connexió d'escriptori remot - Especifiqueu les empremtes digitals SHA1 dels certificats que representen editors RDP de confiança.
La política que necessitem.
En política n'hi ha prou d'afegir l'empremta que ja ens és familiar del pas anterior.
Val la pena assenyalar que aquesta política anul·la la política Permet fitxers RDP d'editors vàlids i la política de configuració de RDP personalitzada predeterminada.
Política configurada.
Voila, ara no hi ha preguntes estranyes, només una sol·licitud d'inici de sessió i contrasenya. Hm…
Tercer pas. Inici de sessió transparent al servidor
De fet, si ja hem iniciat sessió en iniciar sessió en un ordinador de domini, per què hem de tornar a introduir el mateix inici de sessió i la mateixa contrasenya? Transferim les credencials al servidor "de manera transparent". En el cas d'un RDP simple (sense utilitzar RDS Gateway),... Així és, la política de grup vindrà en nostra ajuda.
Aneu a l'apartat: Configuració de l'ordinador - Polítiques - Plantilles administratives - Sistema - Transferència de credencials - Permet la transferència de credencials predeterminades.
Aquí podeu afegir els servidors necessaris a la llista o utilitzar un comodí. Es veurà com TERMSRV/trm.contoso.com o TERMESRV/*.contoso.com.
Política configurada.
Ara, si mireu la nostra etiqueta, es veurà com això:
El nom d'usuari no es pot canviar.
Si feu servir RDS Gateway, també haureu d'habilitar la transferència de dades. Per fer-ho, a IIS Manager, a "Mètodes d'autenticació" cal desactivar la verificació anònima i habilitar l'autenticació de Windows.
IIS configurat.
No oblideu reiniciar els serveis web quan hàgiu acabat amb l'ordre:
iisreset /noforce
Ara tot està bé, sense preguntes ni consultes.
Només els usuaris registrats poden participar en l'enquesta.
Digueu-me, signeu etiquetes RDP per als vostres usuaris?
-
43%No, estan acostumats a fer clic a "D'acord" als missatges sense llegir-los, alguns fins i tot marquen les caselles de "No tornis a preguntar".28
-
29.2%Col·loco acuradament l'etiqueta amb les mans i faig el primer inici de sessió al servidor juntament amb cada usuari.19
-
6.1%Per descomptat, m'encanta l'ordre en tot.4
-
21.5%No faig servir servidors de terminal.14
Han votat 65 usuaris. 14 usuaris es van abstenir.
Font: www.habr.com