Není to tak dávno, co jsme implementovali řešení na terminálovém serveru Windows. Jako obvykle hodili zkratky pro připojení na plochy zaměstnanců a řekli – práce. Ukázalo se však, že uživatelé byli kyberbezpečností vystrašeni. A když se připojujete k serveru, zobrazují se zprávy typu: „Důvěřujete tomuto serveru? Přesně, přesně? “, Vyděsili se a otočili se na nás - ale je vše v pořádku, mohu kliknout na OK? Pak bylo rozhodnuto udělat vše krásně, aby nebyly žádné otázky nebo panika.

Pokud k vám vaši uživatelé stále přicházejí s podobnými obavami a už vás nebaví zaškrtávat „Už se neptejte“ - vítejte pod kočkou.

Nulový krok. Školení a otázky důvěry

Náš uživatel tedy klikne na uložený soubor s příponou .rdp a obdrží následující požadavek:

Škodlivé spojení.

Chcete-li se tohoto okna zbavit, použijte speciální nástroj s názvem RDPSign.exe. Kompletní dokumentace je jako obvykle k dispozici na adrese oficiální stránky, a rozebereme si příklad použití.

Nejprve si musíme vzít certifikát k podepsání souboru. Může být:

• Veřejnost.
• Vydáno interní certifikační autoritou.
• Zcela vlastnoručně podepsáno.

Nejdůležitější je, že certifikát má možnost podepisování (ano, můžete si vybrat
účetní EDS) a klientské počítače mu důvěřovaly. Zde použiji certifikát s vlastním podpisem.

Dovolte mi připomenout, že důvěra v certifikát podepsaný svým držitelem může být organizována pomocí skupinových zásad. Trochu více detailů - pod spoilerem.

Jak vytvořit důvěryhodný certifikát s kouzlem GPO

Nejprve je třeba vzít existující certifikát bez soukromého klíče ve formátu .cer (to lze provést exportem certifikátu z modulu snap-in Certifikáty) a vložit jej do síťové složky přístupné uživatelům ke čtení. Poté můžete nakonfigurovat zásady skupiny.

Import certifikátu se konfiguruje v části: Konfigurace počítače - Zásady - Konfigurace Windows - Nastavení zabezpečení - Zásady veřejných klíčů - Důvěryhodné kořenové certifikační autority. Poté kliknutím pravým tlačítkem myši importujte certifikát.

Konfigurovaná zásada.

Klientské počítače nyní budou důvěřovat certifikátu s vlastním podpisem.

Pokud jsou problémy s důvěrou vyřešeny, přejdeme přímo k problému s podpisem.

Krok první. Rozsáhlé podepisování souboru

Existuje certifikát, nyní musíte zjistit jeho otisk. Stačí jej otevřít v modulu snap-in „Certifikáty“ a zkopírovat na kartě „Složení“.

Potřebujeme otisk.

Je lepší jej okamžitě uvést do správného tvaru - pouze velká písmena a bez mezer, pokud existují. Je vhodné to provést v konzole PowerShell příkazem:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Po obdržení tisku v požadovaném formátu můžete bezpečně podepsat soubor rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Kde .contoso.rdp je absolutní nebo relativní cesta k našemu souboru.

Po podepsání souboru již nebude možné měnit některé parametry přes grafické rozhraní, jako je název serveru (opravdu, jinak k čemu je podepisování?) A pokud změníte nastavení pomocí textového editoru, pak podpis "letí".

Nyní, když na štítek dvakrát kliknete, zpráva se bude lišit:

Nová zpráva. Barva je méně nebezpečná, již pokrok.

Zbavme se ho také.

Krok dva. A opět otázky důvěry

Abychom se této zprávy zbavili, opět potřebujeme skupinovou politiku. Tentokrát cesta leží v části Konfigurace počítače - Zásady - Šablony pro správu - Komponenty Windows - Služby vzdálené plochy - Klient připojení ke vzdálené ploše - Zadejte otisky certifikátů SHA1 zastupujících důvěryhodné vydavatele RDP.

Potřebujeme politiku.

V zásadě stačí přidat otisk, který je nám již známý z předchozího kroku.

Stojí za zmínku, že tato zásada přepíše zásadu „Povolit soubory RDP od platných vydavatelů a vlastní výchozí nastavení RDP“.

Konfigurovaná zásada.

Voila, nyní žádné podivné otázky - pouze žádost o přihlašovací heslo. Hm…

Krok tři. Transparentní přihlášení k serveru

Pokud jsme se již k počítači domény přihlásili, proč tedy musíme znovu zadávat stejné přihlašovací jméno a heslo? Předáme přihlašovací údaje serveru "transparentně". V případě jednoduchého RDP (bez použití RDS Gateway) přijdeme na pomoc... Správně, skupinová politika.

Jdeme do sekce: Konfigurace počítače - Zásady - Šablony pro správu - Systém - Předávání přihlašovacích údajů - Povolit přenos výchozích přihlašovacích údajů.

Zde můžete přidat potřebné servery do seznamu nebo použít zástupný znak. Bude to vypadat TERMSRV/trm.contoso.com nebo TERMSRV/*.contoso.com.

Konfigurovaná zásada.

Nyní, když se podíváte na náš štítek, bude vypadat asi takto:

Neměňte uživatelské jméno.

Pokud používáte bránu RDS, budete na ní muset také povolit přenos dat. Chcete-li to provést, musíte ve Správci služby IIS zakázat anonymní ověřování v části „Metody ověřování“ a povolit ověřování systému Windows.

nakonfigurovaný IIS.

Nezapomeňte restartovat webové služby příkazem:

iisreset /noforce

Nyní je vše v pořádku, žádné dotazy a požadavky.

Průzkumu se mohou zúčastnit pouze registrovaní uživatelé. Přihlásit se, prosím.

Řekněte mi, podepisujete svým uživatelům štítky RDP?

• 43%Ne, jsou naučeni stisknout „OK“ ve zprávách bez přečtení, někteří dokonce sami zaškrtnou políčka „Už se neptat“.28

• 29.2%Štítek opatrně přikládám rukama a spolu s každým uživatelem se poprvé přihlásím na server.19

• 6.1%Samozřejmě mám rád vše v pořádku.4

• 21.5%Nepoužívám terminálové servery.14

Hlasovalo 65 uživatelů. 14 uživatelů se zdrželo hlasování.

Zdroj: www.habr.com