Pocu pocu fà avemu implementatu una suluzione in un servitore di terminal Windows. Cum'è di solitu, anu lanciatu accurtatoghji di cunnessione nantu à i scrivanie di l'impiegati è li dissenu di travaglià. Ma l'utilizatori sò stati intimiditi in quantu à a Cyber Security. È quandu si cunnetta à u servitore, vede missaghji cum'è: "Avete fiducia in stu servitore? Esattamente?", anu spaventatu è si vultò versu noi - hè tuttu bè, pudemu cliccà OK? Allora hè statu decisu di fà tuttu bellu, perchè ùn ci sia micca dumande o panicu.
Sì i vostri utilizatori venenu sempre à voi cù paure simili, è site stancu di cuntrollà a casella "Ùn dumandate più", benvenutu à u ghjattu.
Passu zero. Preparazione è prublemi di fiducia
Allora, u nostru utilizatore cliccate nantu à u schedariu salvatu cù l'estensione .rdp è riceve a seguente dumanda:
Cunnessione "maliziosa"..
Per caccià sta finestra, utilizate una utilità speciale chjamata RDPSign.exe. A documentazione cumpleta hè dispunibule, cum'è di solitu, à
Prima, avemu bisognu di piglià un certificatu per firmà u schedariu. Pò esse:
- Publicu.
- Emessu da u serviziu internu di l'Autorità di Certificazione.
- Completamente firmatu da sè stessu.
A più impurtante hè chì u certificatu hà a capacità di esse firmatu (sì, pudete selezziunate
i contabili anu firma digitale), è i PC di i clienti anu fiducia in ellu. Quì aghju aduprà un certificatu autofirmatu.
Lasciami ricurdà chì a fiducia in un certificatu autofirmatu pò esse urganizatu cù e pulitiche di gruppu. Un pocu di più dettagli sò sottu u spoiler.
Cumu fà un certificatu fiduciale usendu a magia di GPO
Prima, avete bisognu di piglià u certificatu esistente senza a chjave privata in u formatu .cer (questu pò esse fattu per esse exportatu u certificatu da u Certificates snap-in) è mette in un cartulare di rete chì l'utilizatori ponu leghje. Dopu questu, pudete cunfigurà a pulitica di u gruppu.
L'importazione di u certificatu hè cunfigurata in a sezione: Configurazione di l'urdinatore - Politiche - Configurazione di Windows - Configurazione di Sicurezza - Politiche di Chjave Pubbliche - Autorità di Certificazione Root Trusted. Dopu, fate un clic right per impurtà u certificatu.
Pulitica cunfigurata.
I PC Clienti anu avà fiducia in u certificatu autofirmatu.
Se i prublemi di fiducia sò risolti, andemu direttamente à u prublema di firma.
Passu unu. Firmemu u schedariu in una manera spazzata
Ci hè un certificatu, avà avete bisognu di scopre a so impronta digitale. Just apre lu in u snap-in "Certificati" è copia lu in a tabulazione "Composizione".
L'impronta digitale chì avemu bisognu.
Hè megliu purtalla immediatamente in a forma propria - solu lettere maiuscule è senza spazii, s'ellu ci hè. Questu pò esse fattu convenientemente in a cunsola PowerShell cù u cumandimu:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Dopu avè ricevutu l'impronta digitale in u formatu necessariu, pudete firmà in modu sicuru u schedariu rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Induve .contoso.rdp hè a strada assoluta o relative à u nostru schedariu.
Una volta chì u schedariu hè firmatu, ùn serà più pussibule di cambià alcuni di i paràmetri attraversu l'interfaccia gràfica, cum'è u nome di u servitore (veru, altrimenti chì hè u puntu di firmà?) È se cambiate i paràmetri cù un editore di testu, a firma "vola via".
Avà, quandu fate un doppiu clic nantu à a scurciatoia, u missaghju serà diversu:
Un novu missaghju. U culore hè menu periculosu, digià prugressu.
Lasciamu ancu di ellu.
Passu dui. E di novu dumande di fiducia
Per caccià stu missaghju avemu bisognu di novu Politica di Gruppu. Sta volta a strada si trova in a sezione Configurazione di l'informatica - Politiche - Modelli amministrativi - Componenti di Windows - Servizi di Desktop Remote - Cliente di Cunnessione Desktop Remote - Specificate l'impronte digitali SHA1 di certificati chì rapprisentanu editori RDP di fiducia.
A pulitica chì avemu bisognu.
In a pulitica, hè abbastanza per aghjunghje l'impronta digitale chì ci hè digià cunnisciutu da u passu precedente.
Vale a pena nutà chì sta pulitica annulla a Permette i fugliali RDP da editori validi è a pulitica predeterminata di paràmetri RDP persunalizati.
Pulitica cunfigurata.
Voila, avà nisuna dumanda strana - solu una dumanda di login è password. Hm…
Passu trè. Login trasparente à u servitore
In verità, se avemu digià login in quandu si accede à un computer di duminiu, allora perchè avemu bisognu di rientra in u stessu login è password? Trasferemu i credenziali à u servitore "trasparentemente". In u casu di RDP simplice (senza aduprà RDS Gateway), ... Hè propiu, a pulitica di u gruppu vene à u nostru aiutu.
Andà à a rùbbrica: Configurazione Computer - Politiche - Modelli amministrativi - Sistema - Trasferimentu di credenziali - Permette u trasferimentu di credenziali predeterminate.
Quì pudete aghjunghje i servitori necessarii à a lista o utilizate un wildcard. Serà cum'è TERMSRV/trm.contoso.com o TERMSRV/*.contoso.com.
Pulitica cunfigurata.
Avà, se fighjate à a nostra etichetta, parerà qualcosa cusì:
U nome d'utilizatore ùn pò micca esse cambiatu.
Sè vo aduprate RDS Gateway, vi tuccherà dinù à attivà u trasferimentu di dati nant'à lu. Per fà questu, in IIS Manager, in i "Metodi di autentificazione" avete bisognu di disattivà a verificazione anonima è attivà l'autenticazione di Windows.
IIS cunfiguratu.
Ùn vi scurdate di riavvià i servizii web quandu finite cù u cumandamentu:
iisreset /noforce
Avà tuttu hè bè, senza dumande o dumande.
Solu l'utilizatori registrati ponu participà à l'indagine.
Dimmi, firmate etichette RDP per i vostri utilizatori?
-
43%Innò, sò abituati à cliccà "OK" in i missaghji senza leghje, alcuni ancu cuntrollanu e caselle stessu per "Ùn dumandà più".28
-
29.2%Pigliate cù cura l'etichetta cù e mo mani è fate u primu login à u servitore inseme cù ogni utilizatore.19
-
6.1%Di sicuru, mi piace l'ordine in tuttu.4
-
21.5%Ùn aduprate micca i servitori di terminal.14
65 utilizatori anu vutatu. 14 utilizatori si sò astenuti.
Source: www.habr.com