Ddim mor bell yn ôl, fe wnaethom weithredu datrysiad ar weinydd terfynell Windows. Yn ôl yr arfer, maent yn taflu llwybrau byr ar gyfer cysylltu â byrddau gwaith o weithwyr, a dywedodd - gwaith. Ond trodd defnyddwyr allan i gael eu dychryn gan Cybersecurity. Ac wrth gysylltu â'r gweinydd, gweld negeseuon fel: “Ydych chi'n ymddiried yn y gweinydd hwn? Yn union, yn union?”, Fe wnaethon nhw godi ofn a throi atom ni - ond a yw popeth yn iawn, a allaf glicio ar OK? Yna penderfynwyd gwneud popeth yn hyfryd, fel na fyddai unrhyw gwestiynau na phanig.

Os yw eich defnyddwyr yn dal i ddod atoch gydag ofnau tebyg, a'ch bod wedi blino ar dicio “Peidiwch â gofyn eto” - croeso o dan gath.

Cam sero. Materion Hyfforddiant ac Ymddiriedolaeth

Felly, mae ein defnyddiwr yn clicio ar y ffeil sydd wedi'i chadw gyda'r estyniad .rdp ac yn derbyn y cais canlynol:

Cysylltiad maleisus.

I gael gwared ar y ffenestr hon, defnyddiwch gyfleustodau arbennig o'r enw RDPSign.exe. Mae dogfennaeth lawn ar gael, fel arfer, yn gwefan swyddogol, a byddwn yn dadansoddi enghraifft o ddefnydd.

Yn gyntaf mae angen i ni gymryd tystysgrif i lofnodi'r ffeil. Gall fod yn:

• Cyhoeddus.
• Cyhoeddir gan Awdurdod Tystysgrif mewnol.
• Yn gwbl hunan-lofnodedig.

Y peth pwysicaf yw bod gan y dystysgrif y gallu i lofnodi (ie, gallwch ddewis
Roedd cyfrifwyr EDS), a PC cleientiaid yn ymddiried ynddo. Yma byddaf yn defnyddio tystysgrif hunan-lofnodedig.

Gadewch imi eich atgoffa y gellir trefnu ymddiriedaeth mewn tystysgrif hunan-lofnodedig gan ddefnyddio polisïau grŵp. Ychydig mwy o fanylion - o dan y spoiler.

Sut i Wneud Tystysgrif Ymddiried gyda Hud GPO

Yn gyntaf, mae angen i chi gymryd tystysgrif sy'n bodoli eisoes heb allwedd breifat mewn fformat .cer (gellir gwneud hyn trwy allforio'r dystysgrif o'r Snap-in Tystysgrifau) a'i rhoi mewn ffolder rhwydwaith sy'n hygyrch i ddefnyddwyr i'w darllen. Ar ôl hynny, gallwch chi ffurfweddu Polisi Grŵp.

Mae mewngludo tystysgrif wedi'i ffurfweddu yn yr adran: Ffurfweddu Cyfrifiaduron - Polisïau - Ffurfweddu Windows - Gosodiadau Diogelwch - Polisïau Allwedd Cyhoeddus - Awdurdodau Ardystio Gwraidd y gellir Ymddiried ynddynt. Nesaf, de-gliciwch i fewnforio'r dystysgrif.

Y polisi wedi'i ffurfweddu.

Bydd cyfrifiaduron personol y cleient nawr yn ymddiried yn y dystysgrif hunan-lofnodedig.

Os caiff materion yr ymddiriedolaeth eu datrys, awn yn uniongyrchol at y mater llofnod.

Cam un. Arwyddo'r ffeil yn ysgubol

Mae yna dystysgrif, nawr mae angen i chi ddarganfod ei olion bysedd. Agorwch ef yn y snap-in "Tystysgrifau" a'i gopïo ar y tab "Cyfansoddiad".

Mae angen argraffnod arnom.

Mae'n well dod ag ef i'r ffurf gywir ar unwaith - dim ond priflythrennau a heb fylchau, os o gwbl. Mae'n gyfleus gwneud hyn yn y consol PowerShell gyda'r gorchymyn:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Ar ôl derbyn print yn y fformat a ddymunir, gallwch lofnodi'r ffeil rdp yn ddiogel:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Lle .contoso.rdp yw'r llwybr absoliwt neu gymharol i'n ffeil.

Ar ôl i'r ffeil gael ei harwyddo, ni fydd bellach yn bosibl newid rhai o'r paramedrau trwy'r rhyngwyneb graffigol, megis enw'r gweinydd (mewn gwirionedd, fel arall beth yw pwynt llofnodi?) Ac os byddwch chi'n newid y gosodiadau gyda golygydd testun, yna mae'r llofnod "hedfan".

Nawr, pan fyddwch chi'n clicio ddwywaith ar y label, bydd y neges yn wahanol:

Neges newydd. Mae'r lliw yn llai peryglus, eisoes yn symud ymlaen.

Gadewch i ni gael gwared arno hefyd.

Cam dau. Ac eto cwestiynau o ymddiriedaeth

I gael gwared ar y neges hon, mae angen polisi grŵp unwaith eto. Y tro hwn mae'r ffordd yn gorwedd yn yr adran Ffurfweddu Cyfrifiadur - Polisïau - Templedi Gweinyddol - Cydrannau Windows - Gwasanaethau Penbwrdd Pell - Cleient Cysylltiad Penbwrdd o Bell - Nodwch olion bysedd SHA1 o dystysgrifau sy'n cynrychioli cyhoeddwyr RDP dibynadwy.

Mae angen polisi arnom.

Yn y polisi, mae'n ddigon ychwanegu'r argraffnod sydd eisoes yn gyfarwydd i ni o'r cam blaenorol.

Mae'n werth nodi bod y polisi hwn yn diystyru'r polisi "Caniatáu ffeiliau RDP gan gyhoeddwyr dilys a gosodiadau RDP rhagosodedig arferol".

Y polisi wedi'i ffurfweddu.

Voila, nawr dim cwestiynau rhyfedd - dim ond cais mewngofnodi-cyfrinair. Hm…

Cam tri. Mewngofnodi tryloyw i'r gweinydd

Yn wir, os ydym eisoes wedi mewngofnodi i'r cyfrifiadur parth, yna pam mae angen i ni ail-gofnodi'r un mewngofnodi a chyfrinair? Gadewch i ni drosglwyddo'r tystlythyrau i'r gweinydd "yn dryloyw". Yn achos RDP syml (heb ddefnyddio RDS Gateway), byddwn yn dod i'r adwy ... Mae hynny'n iawn, polisi grŵp.

Rydym yn mynd i'r adran: Ffurfweddu Cyfrifiadur - Polisïau - Templedi Gweinyddol - System - Pasio tystlythyrau - Caniatáu trosglwyddo tystlythyrau rhagosodedig.

Yma gallwch ychwanegu'r gweinyddwyr angenrheidiol at y rhestr neu ddefnyddio cerdyn gwyllt. Bydd yn edrych fel TERMSRV/trm.contoso.com neu TERMSRV/*.contoso.com.

Y polisi wedi'i ffurfweddu.

Nawr, os edrychwn ni ar ein label, bydd yn edrych rhywbeth fel hyn:

Peidiwch â newid yr enw defnyddiwr.

Os defnyddir RDS Gateway, bydd angen i chi hefyd ganiatáu trosglwyddo data arno. I wneud hyn, yn IIS Manager, yn y “Dulliau Dilysu” mae angen i chi analluogi dilysu dienw a galluogi Windows Authentication.

IIS wedi'i ffurfweddu.

Не забываем по завершении перезапустить веб-сервисы командой:

iisreset /noforce

Nawr mae popeth yn iawn, dim cwestiynau a cheisiadau.

Dim ond defnyddwyr cofrestredig all gymryd rhan yn yr arolwg. Mewngofnodios gwelwch yn dda.

Dywedwch wrthyf, a ydych chi'n llofnodi labeli RDP ar gyfer eich defnyddwyr?

• 43%Na, maent wedi'u hyfforddi i bwyso “OK” mewn negeseuon heb eu darllen, mae rhai hyd yn oed yn rhoi blychau ticio “Peidiwch â gofyn eto” eu hunain.28

• 29.2%Rwy'n gosod y label yn ofalus gyda fy nwylo ac yn gwneud y mewngofnodi cyntaf i'r gweinydd ynghyd â phob defnyddiwr.19

• 6.1%Wrth gwrs, dwi'n hoffi popeth mewn trefn.4

• 21.5%Dydw i ddim yn defnyddio gweinyddwyr terfynell.14

Pleidleisiodd 65 o ddefnyddwyr. Ataliodd 14 o ddefnyddwyr.

Ffynhonnell: hab.com