Nedávno jsme implementovali řešení na terminálovém serveru WindowsJako obvykle jsme zaměstnancům nainstalovali zástupce na plochy a řekli jim, ať se pustí do práce. Uživatelé se ale kybernetickou bezpečností báli. Při připojování k serveru viděli zprávy typu: „Důvěřujete tomuto serveru? Jste si jistí?“ a vyděsili se a ptali se nás, jestli je vše v pořádku, a jestli můžou kliknout na OK. Rozhodli jsme se tedy, že to bude vypadat hezčí, abychom se vyhnuli jakýmkoli otázkám nebo panice.
Pokud k vám vaši uživatelé stále přicházejí s podobnými obavami a už vás nebaví zaškrtávat „Už se neptejte“ - vítejte pod kočkou.
Nulový krok. Školení a otázky důvěry
Náš uživatel tedy klikne na uložený soubor s příponou .rdp a obdrží následující požadavek:
Škodlivé spojení.
Chcete-li se tohoto okna zbavit, použijte speciální nástroj s názvem RDPSign.exe. Kompletní dokumentace je jako obvykle k dispozici na adrese , a rozebereme si příklad použití.
Nejprve si musíme vzít certifikát k podepsání souboru. Může být:
- Veřejnost.
- Vydáno interní certifikační autoritou.
- Zcela vlastnoručně podepsáno.
Nejdůležitější je, že certifikát má možnost podepisování (ano, můžete si vybrat
účetní EDS) a klientské počítače mu důvěřovaly. Zde použiji certifikát s vlastním podpisem.
Dovolte mi připomenout, že důvěra v certifikát podepsaný svým držitelem může být organizována pomocí skupinových zásad. Trochu více detailů - pod spoilerem.
Jak vytvořit důvěryhodný certifikát s kouzlem GPO
Nejprve je třeba vzít existující certifikát bez soukromého klíče ve formátu .cer (to lze provést exportem certifikátu z modulu snap-in Certifikáty) a vložit jej do síťové složky přístupné uživatelům ke čtení. Poté můžete nakonfigurovat zásady skupiny.
Import certifikátů se konfiguruje v sekci: Konfigurace počítače - Zásady - Konfigurace Windows — Nastavení zabezpečení — Zásady veřejných klíčů — Důvěryhodné kořenové certifikační autority. Poté klikněte pravým tlačítkem myši a importujte certifikát.
Konfigurovaná zásada.
Klientské počítače nyní budou důvěřovat certifikátu s vlastním podpisem.
Pokud jsou problémy s důvěrou vyřešeny, přejdeme přímo k problému s podpisem.
Krok první. Rozsáhlé podepisování souboru
Existuje certifikát, nyní musíte zjistit jeho otisk. Stačí jej otevřít v modulu snap-in „Certifikáty“ a zkopírovat na kartě „Složení“.
Potřebujeme otisk.
Je lepší jej okamžitě uvést do správného tvaru - pouze velká písmena a bez mezer, pokud existují. Je vhodné to provést v konzole PowerShell příkazem:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Po obdržení tisku v požadovaném formátu můžete bezpečně podepsat soubor rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Kde .contoso.rdp je absolutní nebo relativní cesta k našemu souboru.
Po podepsání souboru již nebude možné měnit některé parametry přes grafické rozhraní, jako je název serveru (opravdu, jinak k čemu je podepisování?) A pokud změníte nastavení pomocí textového editoru, pak podpis "letí".
Nyní, když na štítek dvakrát kliknete, zpráva se bude lišit:
Nová zpráva. Barva je méně nebezpečná, již pokrok.
Zbavme se ho také.
Krok dva. A opět otázky důvěry
Abychom se této zprávy zbavili, budeme znovu potřebovat Zásady skupiny. Tentokrát vede cesta do Konfigurace počítače - Zásady - Šablony pro správu - Součásti. Windows — Služby vzdálené plochy — Klient připojení ke vzdálené ploše — Zadejte otisky prstů SHA1 certifikátů představujících důvěryhodné vydavatele RDP.
Potřebujeme politiku.
V zásadě stačí přidat otisk, který je nám již známý z předchozího kroku.
Stojí za zmínku, že tato zásada přepíše zásadu „Povolit soubory RDP od platných vydavatelů a vlastní výchozí nastavení RDP“.
Konfigurovaná zásada.
Voila, nyní žádné podivné otázky - pouze žádost o přihlašovací heslo. Hm…
Krok tři. Transparentní přihlášení k serveru
Pokud jsme se již k počítači domény přihlásili, proč tedy musíme znovu zadávat stejné přihlašovací jméno a heslo? Předáme přihlašovací údaje serveru "transparentně". V případě jednoduchého RDP (bez použití RDS Gateway) přijdeme na pomoc... Správně, skupinová politika.
Jdeme do sekce: Konfigurace počítače - Zásady - Šablony pro správu - Systém - Předávání přihlašovacích údajů - Povolit přenos výchozích přihlašovacích údajů.
Zde můžete přidat potřebné servery do seznamu nebo použít zástupný znak. Bude to vypadat TERMSRV/trm.contoso.com nebo TERMSRV/*.contoso.com.
Konfigurovaná zásada.
Nyní, když se podíváte na náš štítek, bude vypadat asi takto:
Neměňte uživatelské jméno.
Pokud používáte RDS Gateway, budete muset také povolit přenos dat. Chcete-li to provést, ve Správci IIS v části „Metody ověřování“ zakažte anonymní ověřování a povolte ověřování. Windows.
nakonfigurovaný IIS.
Nezapomeňte restartovat webové služby příkazem:
iisreset /noforce
Nyní je vše v pořádku, žádné dotazy a požadavky.
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. , prosím.
Řekněte mi, podepisujete svým uživatelům štítky RDP?
43%Ne, jsou naučeni stisknout „OK“ ve zprávách bez přečtení, někteří dokonce sami zaškrtnou políčka „Už se neptat“.28
29.2%Štítek opatrně přikládám rukama a spolu s každým uživatelem se poprvé přihlásím na server.19
6.1%Samozřejmě mám rád vše v pořádku.4
21.5%Nepoužívám terminálové servery.14
Hlasovalo 65 uživatelů. 14 uživatelů se zdrželo hlasování.
Zdroj: www.habr.com
