For ikke så længe siden implementerede vi en løsning på en Windows-terminalserver. Som sædvanlig kastede de genveje til at oprette forbindelse til medarbejdernes skriveborde og sagde - arbejde. Men brugerne viste sig at blive skræmt af Cybersecurity. Og når du opretter forbindelse til serveren, ser du meddelelser som: "Stoler du til denne server? Præcis, præcis?”, De blev bange og vendte sig mod os - men er alt i orden, kan jeg klikke på OK? Så blev det besluttet at gøre alt smukt, så der ikke ville være spørgsmål eller panik.

Hvis dine brugere stadig kommer til dig med lignende frygt, og du er træt af at sætte kryds ved "Spørg ikke igen" - velkommen under kat.

Nul trin. Trænings- og tillidsproblemer

Så vores bruger klikker på den gemte fil med filtypenavnet .rdp og modtager følgende anmodning:

Ondsindet forbindelse.

For at slippe af med dette vindue skal du bruge et særligt værktøj kaldet RDPSign.exe. Fuld dokumentation findes som sædvanlig kl det officielle site, og vi vil analysere et eksempel på brug.

Først skal vi tage et certifikat for at underskrive filen. Han kan være:

• Offentlig.
• Udstedt af en intern certifikatmyndighed.
• Fuldstændig selvsigneret.

Det vigtigste er, at certifikatet har mulighed for at underskrive (ja, du kan vælge
EDS-revisorer), og klient-pc'er stolede på ham. Her vil jeg bruge et selvsigneret certifikat.

Lad mig minde dig om, at tillid til et selvsigneret certifikat kan organiseres ved hjælp af gruppepolitikker. Lidt flere detaljer - under spoileren.

Sådan laver du et certifikat, der er tillid til GPO's magi

Først skal du tage et eksisterende certifikat uden en privat nøgle i .cer-format (dette kan gøres ved at eksportere certifikatet fra snap-in'en Certifikater) og lægge det i en netværksmappe, der er tilgængelig for brugere til læsning. Derefter kan du konfigurere gruppepolitik.

Import af et certifikat konfigureres i afsnittet: Computerkonfiguration - Politikker - Windows-konfiguration - Sikkerhedsindstillinger - Politikker for offentlige nøgler - Betroede rodcertificeringsmyndigheder. Højreklik derefter for at importere certifikatet.

Den konfigurerede politik.

Klient-pc'erne vil nu stole på det selvsignerede certifikat.

Hvis tillidsproblemerne er løst, går vi direkte til underskriftsspørgsmålet.

Trin et. Underskriver fejende filen

Der er et certifikat, nu skal du finde ud af dets fingeraftryk. Bare åbn den i "Certifikater"-snap-in'en og kopier den på fanen "Komposition".

Vi har brug for aftrykket.

Det er bedre straks at bringe det til den rigtige form - kun store bogstaver og uden mellemrum, hvis nogen. Det er praktisk at gøre dette i PowerShell-konsollen med kommandoen:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Efter at have modtaget et print i det ønskede format, kan du sikkert underskrive rdp-filen:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Hvor .contoso.rdp er den absolutte eller relative sti til vores fil.

Efter at filen er signeret, vil det ikke længere være muligt at ændre nogle af parametrene gennem den grafiske grænseflade, såsom servernavnet (virkelig, hvad er ellers meningen med at signere?) Og hvis du ændrer indstillingerne med en teksteditor, så "flyver" signaturen.

Nu, når du dobbeltklikker på etiketten, vil beskeden være anderledes:

En ny besked. Farven er mindre farlig, allerede fremskridt.

Lad os også slippe af med ham.

Trin to. Og igen spørgsmål om tillid

For at slippe af med denne besked har vi igen brug for en gruppepolitik. Denne gang ligger vejen i afsnittet Computerkonfiguration - Politikker - Administrative skabeloner - Windows-komponenter - Fjernskrivebordstjenester - Fjernskrivebordsforbindelsesklient - Angiv SHA1-fingeraftryk af certifikater, der repræsenterer betroede RDP-udgivere.

Vi har brug for en politik.

I politikken er det nok at tilføje det aftryk, der allerede er kendt for os fra det forrige trin.

Det er værd at bemærke, at denne politik tilsidesætter politikken "Tillad RDP-filer fra gyldige udgivere og tilpassede standardindstillinger for RDP".

Den konfigurerede politik.

Voila, nu ingen mærkelige spørgsmål - kun en anmodning om login-adgangskode. Hm…

Trin tre. Gennemsigtigt login til serveren

Faktisk, hvis vi allerede har logget ind på domænecomputeren, hvorfor skal vi så genindtaste det samme login og kodeord? Lad os videregive legitimationsoplysningerne til serveren "gennemsigtigt". I tilfælde af simpel RDP (uden at bruge RDS Gateway), vil vi komme til undsætning ... Det er rigtigt, gruppepolitik.

Vi går til afsnittet: Computerkonfiguration - Politikker - Administrative skabeloner - System - Videregivelse af legitimationsoplysninger - Tillad videregivelse af standardlegitimationsoplysninger.

Her kan du tilføje de nødvendige servere til listen eller bruge et jokertegn. Det vil se ud TERMSRV/trm.contoso.com eller VILKÅR/*.contoso.com.

Den konfigurerede politik.

Nu, hvis vi ser på vores etiket, vil det se sådan ud:

Ændre ikke brugernavnet.

Hvis RDS Gateway bruges, skal du også tillade dataoverførsel på den. For at gøre dette skal du i IIS-manageren deaktivere anonym godkendelse i "godkendelsesmetoder" og aktivere Windows-godkendelse.

konfigureret IIS.

Glem ikke at genstarte webtjenesterne med kommandoen:

iisreset /noforce

Nu er alt fint, ingen spørgsmål og anmodninger.

Kun registrerede brugere kan deltage i undersøgelsen. Log ind, Vær venlig.

Sig mig, signerer du RDP-etiketter for dine brugere?

• 43 %Nej, de er trænet i at trykke "OK" i beskeder uden at læse, nogle selv sætter selv "Spørg ikke igen" afkrydsningsfelter.28

• 29.2 %Jeg placerer forsigtigt etiketten med mine hænder og laver det første login på serveren sammen med hver bruger.19

• 6.1 %Jeg kan selvfølgelig godt lide alt i orden.4

• 21.5 %Jeg bruger ikke terminalservere.14

65 brugere stemte. 14 brugere undlod at stemme.

Kilde: www.habr.com