ProHoster > Blog > Verwaltung > Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Vor nicht allzu langer Zeit haben wir eine Lösung auf einem Windows-Terminalserver implementiert. Wie üblich warfen sie Verbindungskürzel auf die Schreibtische der Mitarbeiter und forderten sie auf, zu arbeiten. Es stellte sich jedoch heraus, dass die Benutzer in Bezug auf die Cybersicherheit eingeschüchtert waren. Und beim Herstellen einer Verbindung zum Server werden Meldungen angezeigt wie: „Vertrauen Sie diesem Server?“ Genau?“, erschraken sie und drehten sich zu uns um – ist alles in Ordnung, können wir auf „OK“ klicken? Dann wurde beschlossen, alles schön zu machen, damit es keine Fragen oder Panik gab.

Wenn Ihre Benutzer immer noch mit ähnlichen Ängsten zu Ihnen kommen und Sie es satt haben, das Kästchen „Nicht noch einmal fragen“ anzukreuzen, sind Sie bei der Katze willkommen.

Schritt Null. Vorbereitungs- und Vertrauensprobleme

Unser Benutzer klickt also auf die gespeicherte Datei mit der Erweiterung .rdp und erhält die folgende Anfrage:

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

„Bösartige“ Verbindung.

Um dieses Fenster zu entfernen, verwenden Sie ein spezielles Dienstprogramm namens RDPSign.exe. Die vollständige Dokumentation finden Sie wie gewohnt unter die offizielle Seite, und wir werden uns ein Anwendungsbeispiel ansehen.

Zuerst benötigen wir ein Zertifikat, um die Datei zu signieren. Er kann sein:

  • Öffentlich.
  • Wird vom internen Zertifizierungsstellendienst ausgestellt.
  • Komplett selbstsigniert.

Das Wichtigste ist, dass das Zertifikat signiert werden kann (ja, Sie können es auswählen).
Buchhalter haben digitale Signaturen) und Client-PCs vertrauten ihm. Hier verwende ich ein selbstsigniertes Zertifikat.

Ich möchte Sie daran erinnern, dass das Vertrauen in ein selbstsigniertes Zertifikat mithilfe von Gruppenrichtlinien organisiert werden kann. Ein paar weitere Details finden Sie unter dem Spoiler.

So machen Sie ein Zertifikat mit der Magie von GPO vertrauenswürdig

Zuerst müssen Sie das vorhandene Zertifikat ohne den privaten Schlüssel im CER-Format nehmen (dies kann durch Exportieren des Zertifikats aus dem Zertifikate-Snap-In erfolgen) und es in einem Netzwerkordner ablegen, den Benutzer lesen können. Anschließend können Sie die Gruppenrichtlinie konfigurieren.

Der Zertifikatimport wird im Abschnitt konfiguriert: Computerkonfiguration – Richtlinien – Windows-Konfiguration – Sicherheitseinstellungen – Richtlinien für öffentliche Schlüssel – Vertrauenswürdige Stammzertifizierungsstellen. Klicken Sie anschließend mit der rechten Maustaste, um das Zertifikat zu importieren.

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Konfigurierte Richtlinie.

Client-PCs vertrauen nun dem selbstsignierten Zertifikat.

Wenn die Vertrauensprobleme gelöst sind, gehen wir direkt zum Signaturproblem über.

Schritt eins. Wir unterschreiben die Akte umfassend

Es gibt ein Zertifikat, jetzt müssen Sie seinen Fingerabdruck herausfinden. Öffnen Sie es einfach im Snap-In „Zertifikate“ und kopieren Sie es in den Reiter „Zusammensetzung“.

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Der Fingerabdruck, den wir brauchen.

Es ist besser, es sofort in die richtige Form zu bringen – nur Großbuchstaben und keine Leerzeichen, falls vorhanden. Dies geht bequem in der PowerShell-Konsole mit dem Befehl:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Nachdem Sie den Fingerabdruck im erforderlichen Format erhalten haben, können Sie die RDP-Datei sicher signieren:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Wobei .contoso.rdp der absolute oder relative Pfad zu unserer Datei ist.

Sobald die Datei signiert ist, ist es nicht mehr möglich, einige Parameter über die grafische Oberfläche zu ändern, wie z. B. den Servernamen (was nützt sonst eigentlich das Signieren?). Und wenn Sie die Einstellungen mit einem Texteditor ändern, die Signatur „fliegt weg“.

Wenn Sie nun auf die Verknüpfung doppelklicken, sieht die Meldung anders aus:

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Eine neue Nachricht. Die Farbe ist weniger gefährlich, schon Fortschritte.

Lasst uns auch ihn loswerden.

Schritt zwei. Und wieder Fragen des Vertrauens

Um diese Meldung zu entfernen, benötigen wir erneut eine Gruppenrichtlinie. Diesmal liegt der Weg im Abschnitt Computerkonfiguration – Richtlinien – Administrative Vorlagen – Windows-Komponenten – Remotedesktopdienste – Remotedesktopverbindungsclient – ​​Geben Sie SHA1-Fingerabdrücke von Zertifikaten an, die vertrauenswürdige RDP-Herausgeber repräsentieren.

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Die Politik, die wir brauchen.

In der Politik genügt es, den Fingerabdruck hinzuzufügen, der uns bereits aus dem vorherigen Schritt bekannt ist.

Es ist zu beachten, dass diese Richtlinie die Richtlinie „RDP-Dateien von gültigen Herausgebern zulassen und standardmäßige benutzerdefinierte RDP-Einstellungen zulassen“ außer Kraft setzt.

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Konfigurierte Richtlinie.

Voila, jetzt keine seltsamen Fragen mehr – nur eine Anfrage nach einem Login und Passwort. Hm…

Schritt drei. Transparente Anmeldung am Server

Wenn wir uns bei der Anmeldung an einem Domänencomputer bereits angemeldet haben, warum müssen wir dann denselben Benutzernamen und dasselbe Passwort erneut eingeben? Lassen Sie uns die Zugangsdaten „transparent“ an den Server übertragen. Im Fall von einfachem RDP (ohne Verwendung des RDS-Gateways) ... Richtig, die Gruppenrichtlinie wird uns helfen.

Gehen Sie zum Abschnitt: Computerkonfiguration – Richtlinien – Administrative Vorlagen – System – Übertragung von Anmeldeinformationen – Übertragung von Standardanmeldeinformationen zulassen.

Hier können Sie die benötigten Server zur Liste hinzufügen oder einen Platzhalter verwenden. Es wird so aussehen TERMSRV/trm.contoso.com oder TERMSRV/*.contoso.com.

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Konfigurierte Richtlinie.

Wenn Sie sich nun unser Etikett ansehen, sieht es in etwa so aus:

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

Der Benutzername kann nicht geändert werden.

Wenn Sie RDS Gateway verwenden, müssen Sie auch die Datenübertragung darauf aktivieren. Dazu müssen Sie im IIS-Manager unter „Authentifizierungsmethoden“ die anonyme Überprüfung deaktivieren und die Windows-Authentifizierung aktivieren.

Beseitigen Sie lästige Warnungen beim Anmelden an einem Terminalserver

IIS konfiguriert.

Vergessen Sie nicht, die Webdienste neu zu starten, wenn Sie mit dem folgenden Befehl fertig sind:

iisreset /noforce

Jetzt ist alles in Ordnung, keine Fragen oder Bedenken.

An der Umfrage können nur registrierte Benutzer teilnehmen. Einloggenbitte.

Sagen Sie mir, signieren Sie RDP-Labels für Ihre Benutzer?

  • 43%Nein, sie sind es gewohnt, in Nachrichten auf „OK“ zu klicken, ohne sie zu lesen, manche kreuzen sogar selbst die Kästchen „Nicht mehr fragen“ an.28

  • 29.2%Ich platziere das Etikett sorgfältig mit meinen Händen und melde mich gemeinsam mit jedem Benutzer zum ersten Mal am Server an.19

  • 6.1%Natürlich liebe ich Ordnung in allem.4

  • 21.5%Ich verwende keine Terminalserver.14

65 Benutzer haben abgestimmt. 14 Benutzer enthielten sich der Stimme.

Source: habr.com

Kommentar hinzufügen