Dili pa lang dugay, nagpatuman kami og solusyon sa Windows terminal server. Sama sa naandan, gilabay nila ang mga shortcut alang sa pagkonektar sa mga desktop sa mga empleyado, ug giingon nga - trabaho. Apan ang mga tiggamit nahimo’g nahadlok sa mga termino sa Cyber Security. Ug kung magkonektar sa server, makakita sa mga mensahe sama sa: "Misalig ka ba niini nga server? Eksakto, eksakto? ”, Nahadlok sila ug milingi kanamo - apan okay ba ang tanan, mahimo ba nako i-klik ang OK? Unya nakahukom nga buhaton ang tanan nga matahum, aron wala’y mga pangutana o kalisang.
Kung ang imong mga tiggamit moadto pa kanimo nga adunay parehas nga kahadlok, ug gikapoy ka sa pagtiktik sa "Ayaw pangutana pag-usab" - welcome sa ilawom sa iring.
Lakang zero. Mga Isyu sa Paghanas ug Pagsalig
Busa, ang among user nag-klik sa na-save nga file gamit ang .rdp extension ug nakadawat sa mosunod nga hangyo:
"Malisyosong" koneksyon.
Aron makuha kini nga bintana, gamita ang usa ka espesyal nga utility nga gitawag RDPSign.exe. Ang bug-os nga dokumentasyon anaa, sama sa naandan, sa
Una kinahanglan namon nga magkuha usa ka sertipiko aron mapirmahan ang file. Siya mahimong:
- Publiko.
- Gi-isyu sa usa ka internal nga Awtoridad sa Sertipiko.
- Hingpit nga gipirmahan sa kaugalingon.
Ang labing hinungdanon nga butang mao nga ang sertipiko adunay katakus sa pagpirma (oo, mahimo ka makapili
EDS accountant), ug ang mga kliyente sa PC misalig kaniya. Dinhi mogamit ako usa ka sertipiko nga gipirmahan sa kaugalingon.
Pahinumdumi ko nimo nga ang pagsalig sa usa ka gipirmahan sa kaugalingon nga sertipiko mahimong maorganisar gamit ang mga palisiya sa grupo. Usa ka gamay nga dugang nga mga detalye - sa ilawom sa spoiler.
Giunsa Paghimo ang usa ka Sertipiko nga Gisaligan Gamit ang Salamangka sa GPO
Una, kinahanglan nimo nga kuhaon ang usa ka kasamtangan nga sertipiko nga walay pribadong yawe sa .cer nga format (kini mahimo pinaagi sa pag-eksport sa sertipiko gikan sa Certificates snap-in) ug ibutang kini sa usa ka network folder nga ma-access sa mga tiggamit alang sa pagbasa. Pagkahuman niana, mahimo nimong i-configure ang Polisiya sa Grupo.
Ang pag-import sa sertipiko gi-configure sa seksyon: Pag-configure sa Computer - Mga Patakaran - Pag-configure sa Windows - Mga Setting sa Seguridad - Mga Patakaran sa Pangpubliko nga Key - Gisaligan nga Mga Awtoridad sa Sertipikasyon sa Root. Sunod, pag-right-click aron ma-import ang sertipiko.
Gi-configure nga palisiya.
Ang kliyente nga mga PC mosalig na sa kaugalingon nga gipirmahan nga sertipiko.
Kung masulbad ang mga isyu sa pagsalig, diretso kami sa isyu sa pirma.
Unang lakang. Mahinay nga pagpirma sa file
Adunay usa ka sertipiko, karon kinahanglan nimo nga mahibal-an ang fingerprint niini. Ablihi lang kini sa "Certificate" snap-in ug kopyaha kini sa tab nga "Composition".
Ang fingerprint nga atong gikinahanglan.
Mas maayo nga dad-on dayon kini sa tukma nga porma - mga letra lang nga kapital ug walay mga espasyo, kung naa. Kini sayon buhaton kini sa PowerShell console uban ang sugo:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Nakadawat ka og print sa gusto nga format, mahimo nimong luwas nga pirmahan ang rdp file:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Diin ang .contoso.rdp mao ang hingpit o paryente nga agianan sa among file.
Human mapirmahan ang file, dili na mahimo nga usbon ang pipila ka mga parameter pinaagi sa graphical interface, sama sa ngalan sa server (tinuod, kung dili unsa ang punto sa pagpirma?) Ug kung imong usbon ang mga setting gamit ang editor sa teksto, unya ang pirma "langaw".
Karon, kung doble-klik nimo ang label, lahi ang mensahe:
Usa ka bag-ong mensahe. Ang kolor dili kaayo delikado, nag-uswag na.
Isalikway sab nato siya.
Ikaduhang lakang. Ug pag-usab mga pangutana sa pagsalig
Aron matangtang kini nga mensahe, kinahanglan na usab namo ang polisiya sa grupo. Niining higayona ang dalan anaa sa seksyon nga Computer Configuration - Mga Patakaran - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Connection Client - Ipiho ang SHA1 fingerprints sa mga sertipiko nga nagrepresentar sa kasaligang RDP publishers.
Kinahanglan namon ang usa ka palisiya.
Sa politika, igo na nga idugang ang fingerprint nga pamilyar na kanato gikan sa miaging lakang.
Angay nga hinumdoman nga kini nga polisiya nag-override sa "Allow RDP files from valid publishers and custom default RDP settings" policy.
Gi-configure nga palisiya.
Voila, karon walay katingad-an nga mga pangutana - usa lamang ka hangyo sa pag-login-password. Hm…
Ikatulong lakang. Transparent nga pag-login sa server
Sa tinuud, kung naka-log in na kami sa pag-log in sa usa ka domain nga kompyuter, nan ngano nga kinahanglan namon nga isulod pag-usab ang parehas nga pag-login ug password? Atong ipasa ang mga kredensyal sa server nga "transparently". Sa kaso sa yano nga RDP (nga wala gigamit ang RDS Gateway), ... Husto, ang polisiya sa grupo moabut aron matabangan kami.
Moadto kami sa seksyon: Computer Configuration - Mga Patakaran - Administrative Templates - System - Pagpasa sa mga kredensyal - Tugoti ang pagbalhin sa default nga mga kredensyal.
Dinhi mahimo nimong idugang ang kinahanglan nga mga server sa lista o mogamit usa ka wildcard. Kini tan-awon sama sa TERMSRV/trm.contoso.com o TERMSRV/*.contoso.com.
Gi-configure nga palisiya.
Karon, kung atong tan-awon ang atong label, kini tan-awon sama niini:
Ayaw usba ang username.
Kung mogamit ka sa RDS Gateway, kinahanglan nimo nga i-enable ang pagbalhin sa datos niini. Aron mahimo kini, sa IIS Manager, sa "Mga Pamaagi sa Pagpamatuod" kinahanglan nimo nga i-disable ang anonymous nga pag-verify ug i-enable ang Windows Authentication.
Gi-configure ang IIS.
Ayaw kalimti nga i-restart ang mga serbisyo sa web gamit ang mando:
iisreset /noforce
Karon maayo na ang tanan, walay pangutana ug hangyo.
Ang mga rehistradong tiggamit lamang ang makaapil sa survey.
Sultihi ko, gipirmahan ba nimo ang mga label sa RDP alang sa imong mga tiggamit?
-
43%Dili, naanad na sila sa pag-klik sa “OK” sa mga mensahe nga dili mobasa niini, ang uban mo-tsek pa sa mga kahon sa ilang kaugalingon sa “Ayaw pagpangutana pag-usab.”28
-
29.2%Gibutang nako pag-ayo ang label gamit ang akong mga kamot ug gihimo ang una nga pag-login sa server kauban ang matag tiggamit.19
-
6.1%Siyempre, ganahan ko sa tanang butang sa pagkahan-ay.4
-
21.5%Wala ko mogamit ug terminal servers.14
65 ka tiggamit ang nagboto. 14 ka tiggamit ang nag-abstain.
Source: www.habr.com