ProHoster > Блог > Pagdumala > Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Dili pa lang dugay, nagpatuman kami og solusyon sa Windows terminal server. Sama sa naandan, gilabay nila ang mga shortcut alang sa pagkonektar sa mga desktop sa mga empleyado, ug giingon nga - trabaho. Apan ang mga tiggamit nahimo’g nahadlok sa mga termino sa Cyber ​​​​Security. Ug kung magkonektar sa server, makakita sa mga mensahe sama sa: "Misalig ka ba niini nga server? Eksakto, eksakto? ”, Nahadlok sila ug milingi kanamo - apan okay ba ang tanan, mahimo ba nako i-klik ang OK? Unya nakahukom nga buhaton ang tanan nga matahum, aron wala’y mga pangutana o kalisang.

Kung ang imong mga tiggamit moadto pa kanimo nga adunay parehas nga kahadlok, ug gikapoy ka sa pagtiktik sa "Ayaw pangutana pag-usab" - welcome sa ilawom sa iring.

Lakang zero. Mga Isyu sa Paghanas ug Pagsalig

Busa, ang among user nag-klik sa na-save nga file gamit ang .rdp extension ug nakadawat sa mosunod nga hangyo:

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

"Malisyosong" koneksyon.

Aron makuha kini nga bintana, gamita ang usa ka espesyal nga utility nga gitawag RDPSign.exe. Ang bug-os nga dokumentasyon anaa, sama sa naandan, sa opisyal nga website, ug atong analisahon ang usa ka pananglitan sa paggamit.

Una kinahanglan namon nga magkuha usa ka sertipiko aron mapirmahan ang file. Siya mahimong:

  • Publiko.
  • Gi-isyu sa usa ka internal nga Awtoridad sa Sertipiko.
  • Hingpit nga gipirmahan sa kaugalingon.

Ang labing hinungdanon nga butang mao nga ang sertipiko adunay katakus sa pagpirma (oo, mahimo ka makapili
EDS accountant), ug ang mga kliyente sa PC misalig kaniya. Dinhi mogamit ako usa ka sertipiko nga gipirmahan sa kaugalingon.

Pahinumdumi ko nimo nga ang pagsalig sa usa ka gipirmahan sa kaugalingon nga sertipiko mahimong maorganisar gamit ang mga palisiya sa grupo. Usa ka gamay nga dugang nga mga detalye - sa ilawom sa spoiler.

Giunsa Paghimo ang usa ka Sertipiko nga Gisaligan Gamit ang Salamangka sa GPO

Una, kinahanglan nimo nga kuhaon ang usa ka kasamtangan nga sertipiko nga walay pribadong yawe sa .cer nga format (kini mahimo pinaagi sa pag-eksport sa sertipiko gikan sa Certificates snap-in) ug ibutang kini sa usa ka network folder nga ma-access sa mga tiggamit alang sa pagbasa. Pagkahuman niana, mahimo nimong i-configure ang Polisiya sa Grupo.

Ang pag-import sa sertipiko gi-configure sa seksyon: Pag-configure sa Computer - Mga Patakaran - Pag-configure sa Windows - Mga Setting sa Seguridad - Mga Patakaran sa Pangpubliko nga Key - Gisaligan nga Mga Awtoridad sa Sertipikasyon sa Root. Sunod, pag-right-click aron ma-import ang sertipiko.

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Gi-configure nga palisiya.

Ang kliyente nga mga PC mosalig na sa kaugalingon nga gipirmahan nga sertipiko.

Kung masulbad ang mga isyu sa pagsalig, diretso kami sa isyu sa pirma.

Unang lakang. Mahinay nga pagpirma sa file

Adunay usa ka sertipiko, karon kinahanglan nimo nga mahibal-an ang fingerprint niini. Ablihi lang kini sa "Certificate" snap-in ug kopyaha kini sa tab nga "Composition".

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Ang fingerprint nga atong gikinahanglan.

Mas maayo nga dad-on dayon kini sa tukma nga porma - mga letra lang nga kapital ug walay mga espasyo, kung naa. Kini sayon ​​​​buhaton kini sa PowerShell console uban ang sugo:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Nakadawat ka og print sa gusto nga format, mahimo nimong luwas nga pirmahan ang rdp file:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Diin ang .contoso.rdp mao ang hingpit o paryente nga agianan sa among file.

Human mapirmahan ang file, dili na mahimo nga usbon ang pipila ka mga parameter pinaagi sa graphical interface, sama sa ngalan sa server (tinuod, kung dili unsa ang punto sa pagpirma?) Ug kung imong usbon ang mga setting gamit ang editor sa teksto, unya ang pirma "langaw".

Karon, kung doble-klik nimo ang label, lahi ang mensahe:

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Usa ka bag-ong mensahe. Ang kolor dili kaayo delikado, nag-uswag na.

Isalikway sab nato siya.

Ikaduhang lakang. Ug pag-usab mga pangutana sa pagsalig

Aron matangtang kini nga mensahe, kinahanglan na usab namo ang polisiya sa grupo. Niining higayona ang dalan anaa sa seksyon nga Computer Configuration - Mga Patakaran - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Connection Client - Ipiho ang SHA1 fingerprints sa mga sertipiko nga nagrepresentar sa kasaligang RDP publishers.

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Kinahanglan namon ang usa ka palisiya.

Sa politika, igo na nga idugang ang fingerprint nga pamilyar na kanato gikan sa miaging lakang.

Angay nga hinumdoman nga kini nga polisiya nag-override sa "Allow RDP files from valid publishers and custom default RDP settings" policy.

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Gi-configure nga palisiya.

Voila, karon walay katingad-an nga mga pangutana - usa lamang ka hangyo sa pag-login-password. Hm…

Ikatulong lakang. Transparent nga pag-login sa server

Sa tinuud, kung naka-log in na kami sa pag-log in sa usa ka domain nga kompyuter, nan ngano nga kinahanglan namon nga isulod pag-usab ang parehas nga pag-login ug password? Atong ipasa ang mga kredensyal sa server nga "transparently". Sa kaso sa yano nga RDP (nga wala gigamit ang RDS Gateway), ... Husto, ang polisiya sa grupo moabut aron matabangan kami.

Moadto kami sa seksyon: Computer Configuration - Mga Patakaran - Administrative Templates - System - Pagpasa sa mga kredensyal - Tugoti ang pagbalhin sa default nga mga kredensyal.

Dinhi mahimo nimong idugang ang kinahanglan nga mga server sa lista o mogamit usa ka wildcard. Kini tan-awon sama sa TERMSRV/trm.contoso.com o TERMSRV/*.contoso.com.

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Gi-configure nga palisiya.

Karon, kung atong tan-awon ang atong label, kini tan-awon sama niini:

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Ayaw usba ang username.

Kung mogamit ka sa RDS Gateway, kinahanglan nimo nga i-enable ang pagbalhin sa datos niini. Aron mahimo kini, sa IIS Manager, sa "Mga Pamaagi sa Pagpamatuod" kinahanglan nimo nga i-disable ang anonymous nga pag-verify ug i-enable ang Windows Authentication.

Pagtangtang sa makalagot nga mga pasidaan sa pagsulod sa terminal server

Gi-configure ang IIS.

Ayaw kalimti nga i-restart ang mga serbisyo sa web gamit ang mando:

iisreset /noforce

Karon maayo na ang tanan, walay pangutana ug hangyo.

Ang mga rehistradong tiggamit lamang ang makaapil sa survey. Sign in, walay sapayan.

Sultihi ko, gipirmahan ba nimo ang mga label sa RDP alang sa imong mga tiggamit?

  • 43%Dili, naanad na sila sa pag-klik sa “OK” sa mga mensahe nga dili mobasa niini, ang uban mo-tsek pa sa mga kahon sa ilang kaugalingon sa “Ayaw pagpangutana pag-usab.”28

  • 29.2%Gibutang nako pag-ayo ang label gamit ang akong mga kamot ug gihimo ang una nga pag-login sa server kauban ang matag tiggamit.19

  • 6.1%Siyempre, ganahan ko sa tanang butang sa pagkahan-ay.4

  • 21.5%Wala ko mogamit ug terminal servers.14

65 ka tiggamit ang nagboto. 14 ka tiggamit ang nag-abstain.

Source: www.habr.com

Idugang sa usa ka comment