Není to tak dávno, co jsme implementovali řešení na terminálovém serveru Windows. Jako obvykle hodili zkratky pro připojení na plochy zaměstnanců a řekli – práce. Ukázalo se však, že uživatelé byli kyberbezpečností vystrašeni. A když se připojujete k serveru, zobrazují se zprávy typu: „Důvěřujete tomuto serveru? Přesně, přesně? “, Vyděsili se a otočili se na nás - ale je vše v pořádku, mohu kliknout na OK? Pak bylo rozhodnuto udělat vše krásně, aby nebyly žádné otázky nebo panika.
Pokud k vám vaši uživatelé stále přicházejí s podobnými obavami a už vás nebaví zaškrtávat „Už se neptejte“ - vítejte pod kočkou.
Nulový krok. Školení a otázky důvěry
Náš uživatel tedy klikne na uložený soubor s příponou .rdp a obdrží následující požadavek:
Škodlivé spojení.
Chcete-li se tohoto okna zbavit, použijte speciální nástroj s názvem RDPSign.exe. Kompletní dokumentace je jako obvykle k dispozici na adrese
Nejprve si musíme vzít certifikát k podepsání souboru. Může být:
- Veřejnost.
- Vydáno interní certifikační autoritou.
- Zcela vlastnoručně podepsáno.
Nejdůležitější je, že certifikát má možnost podepisování (ano, můžete si vybrat
účetní EDS) a klientské počítače mu důvěřovaly. Zde použiji certifikát s vlastním podpisem.
Dovolte mi připomenout, že důvěra v certifikát podepsaný svým držitelem může být organizována pomocí skupinových zásad. Trochu více detailů - pod spoilerem.
Jak vytvořit důvěryhodný certifikát s kouzlem GPO
Nejprve je třeba vzít existující certifikát bez soukromého klíče ve formátu .cer (to lze provést exportem certifikátu z modulu snap-in Certifikáty) a vložit jej do síťové složky přístupné uživatelům ke čtení. Poté můžete nakonfigurovat zásady skupiny.
Import certifikátu se konfiguruje v části: Konfigurace počítače - Zásady - Konfigurace Windows - Nastavení zabezpečení - Zásady veřejných klíčů - Důvěryhodné kořenové certifikační autority. Poté kliknutím pravým tlačítkem myši importujte certifikát.
Konfigurovaná zásada.
Klientské počítače nyní budou důvěřovat certifikátu s vlastním podpisem.
Pokud jsou problémy s důvěrou vyřešeny, přejdeme přímo k problému s podpisem.
Krok první. Rozsáhlé podepisování souboru
Existuje certifikát, nyní musíte zjistit jeho otisk. Stačí jej otevřít v modulu snap-in „Certifikáty“ a zkopírovat na kartě „Složení“.
Potřebujeme otisk.
Je lepší jej okamžitě uvést do správného tvaru - pouze velká písmena a bez mezer, pokud existují. Je vhodné to provést v konzole PowerShell příkazem:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Po obdržení tisku v požadovaném formátu můžete bezpečně podepsat soubor rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Kde .contoso.rdp je absolutní nebo relativní cesta k našemu souboru.
Po podepsání souboru již nebude možné měnit některé parametry přes grafické rozhraní, jako je název serveru (opravdu, jinak k čemu je podepisování?) A pokud změníte nastavení pomocí textového editoru, pak podpis "letí".
Nyní, když na štítek dvakrát kliknete, zpráva se bude lišit:
Nová zpráva. Barva je méně nebezpečná, již pokrok.
Zbavme se ho také.
Krok dva. A opět otázky důvěry
Abychom se této zprávy zbavili, opět potřebujeme skupinovou politiku. Tentokrát cesta leží v části Konfigurace počítače - Zásady - Šablony pro správu - Komponenty Windows - Služby vzdálené plochy - Klient připojení ke vzdálené ploše - Zadejte otisky certifikátů SHA1 zastupujících důvěryhodné vydavatele RDP.
Potřebujeme politiku.
V zásadě stačí přidat otisk, který je nám již známý z předchozího kroku.
Stojí za zmínku, že tato zásada přepíše zásadu „Povolit soubory RDP od platných vydavatelů a vlastní výchozí nastavení RDP“.
Konfigurovaná zásada.
Voila, nyní žádné podivné otázky - pouze žádost o přihlašovací heslo. Hm…
Krok tři. Transparentní přihlášení k serveru
Pokud jsme se již k počítači domény přihlásili, proč tedy musíme znovu zadávat stejné přihlašovací jméno a heslo? Předáme přihlašovací údaje serveru "transparentně". V případě jednoduchého RDP (bez použití RDS Gateway) přijdeme na pomoc... Správně, skupinová politika.
Jdeme do sekce: Konfigurace počítače - Zásady - Šablony pro správu - Systém - Předávání přihlašovacích údajů - Povolit přenos výchozích přihlašovacích údajů.
Zde můžete přidat potřebné servery do seznamu nebo použít zástupný znak. Bude to vypadat TERMSRV/trm.contoso.com nebo TERMSRV/*.contoso.com.
Konfigurovaná zásada.
Nyní, když se podíváte na náš štítek, bude vypadat asi takto:
Neměňte uživatelské jméno.
Pokud používáte bránu RDS, budete na ní muset také povolit přenos dat. Chcete-li to provést, musíte ve Správci služby IIS zakázat anonymní ověřování v části „Metody ověřování“ a povolit ověřování systému Windows.
nakonfigurovaný IIS.
Nezapomeňte restartovat webové služby příkazem:
iisreset /noforce
Nyní je vše v pořádku, žádné dotazy a požadavky.
Průzkumu se mohou zúčastnit pouze registrovaní uživatelé.
Řekněte mi, podepisujete svým uživatelům štítky RDP?
-
43%Ne, jsou naučeni stisknout „OK“ ve zprávách bez přečtení, někteří dokonce sami zaškrtnou políčka „Už se neptat“.28
-
29.2%Štítek opatrně přikládám rukama a spolu s každým uživatelem se poprvé přihlásím na server.19
-
6.1%Samozřejmě mám rád vše v pořádku.4
-
21.5%Nepoužívám terminálové servery.14
Hlasovalo 65 uživatelů. 14 uživatelů se zdrželo hlasování.
Zdroj: www.habr.com