ProHoster > Blog > διαχείριση > Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Πριν από λίγο καιρό εφαρμόσαμε μια λύση σε έναν τερματικό διακομιστή των Windows. Ως συνήθως, έριξαν συντομεύσεις για τη σύνδεση με τους επιτραπέζιους υπολογιστές των εργαζομένων και είπαν - δουλειά. Αλλά οι χρήστες αποδείχτηκαν εκφοβισμένοι όσον αφορά την ασφάλεια στον κυβερνοχώρο. Και όταν συνδέεστε στον διακομιστή, βλέπετε μηνύματα όπως: «Εμπιστεύεστε αυτόν τον διακομιστή; Ακριβώς, ακριβώς; », Φοβήθηκαν και στράφηκαν προς το μέρος μας - αλλά είναι όλα εντάξει, μπορώ να κάνω κλικ στο ΟΚ; Τότε αποφασίστηκε να γίνουν όλα όμορφα, για να μην υπάρχουν απορίες ή πανικός.

Εάν οι χρήστες σας εξακολουθούν να έρχονται σε εσάς με παρόμοιους φόβους και έχετε βαρεθεί να σημειώνετε "Μην ρωτήσετε ξανά" - καλώς ήλθατε κάτω από τη γάτα.

Μηδέν βήμα. Θέματα προετοιμασίας και εμπιστοσύνης

Έτσι, ο χρήστης μας κάνει κλικ στο αποθηκευμένο αρχείο με την επέκταση .rdp και λαμβάνει το ακόλουθο αίτημα:

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

"Κακόβουλη" σύνδεση.

Για να απαλλαγείτε από αυτό το παράθυρο, χρησιμοποιήστε ένα ειδικό βοηθητικό πρόγραμμα που ονομάζεται RDPSign.exe. Η πλήρης τεκμηρίωση είναι διαθέσιμη, ως συνήθως, στη διεύθυνση επίσημη ιστοσελίδα, και θα αναλύσουμε ένα παράδειγμα χρήσης.

Αρχικά, πρέπει να πάρουμε ένα πιστοποιητικό για να υπογράψουμε το αρχείο. Μπορεί να είναι:

  • Δημόσιο.
  • Εκδίδεται από εσωτερική Αρχή Πιστοποιητικών.
  • Εντελώς αυτο-υπογεγραμμένο.

Το πιο σημαντικό είναι ότι το πιστοποιητικό έχει τη δυνατότητα υπογραφής (ναι, μπορείτε να επιλέξετε
οι λογιστές έχουν ψηφιακές υπογραφές) και οι υπολογιστές πελατών τον εμπιστεύονταν. Εδώ θα χρησιμοποιήσω ένα αυτο-υπογεγραμμένο πιστοποιητικό.

Επιτρέψτε μου να σας υπενθυμίσω ότι η εμπιστοσύνη σε ένα αυτο-υπογεγραμμένο πιστοποιητικό μπορεί να οργανωθεί χρησιμοποιώντας πολιτικές ομάδας. Λίγες περισσότερες λεπτομέρειες - κάτω από το σπόιλερ.

Πώς να κάνετε ένα πιστοποιητικό αξιόπιστο χρησιμοποιώντας το Magic of GPO

Αρχικά, πρέπει να πάρετε ένα υπάρχον πιστοποιητικό χωρίς ιδιωτικό κλειδί σε μορφή .cer (αυτό μπορεί να γίνει με εξαγωγή του πιστοποιητικού από το συμπληρωματικό πρόγραμμα Certificates) και να το τοποθετήσετε σε έναν φάκελο δικτύου που είναι προσβάσιμος στους χρήστες για ανάγνωση. Μετά από αυτό, μπορείτε να διαμορφώσετε την πολιτική ομάδας.

Η εισαγωγή ενός πιστοποιητικού διαμορφώνεται στην ενότητα: Διαμόρφωση υπολογιστή - Πολιτικές - Διαμόρφωση Windows - Ρυθμίσεις ασφαλείας - Πολιτικές δημόσιου κλειδιού - Αξιόπιστες αρχές πιστοποίησης ρίζας. Στη συνέχεια, κάντε δεξί κλικ για να εισαγάγετε το πιστοποιητικό.

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Ρυθμισμένη πολιτική.

Οι υπολογιστές-πελάτες θα εμπιστεύονται πλέον το αυτο-υπογεγραμμένο πιστοποιητικό.

Εάν επιλυθούν τα ζητήματα εμπιστοσύνης, μεταβαίνουμε απευθείας στο ζήτημα της υπογραφής.

Βήμα πρώτο. Υπογράφουμε το αρχείο με σαρωτικό τρόπο

Υπάρχει ένα πιστοποιητικό, τώρα πρέπει να μάθετε το δακτυλικό του αποτύπωμα. Απλώς ανοίξτε το στο συμπληρωματικό πρόγραμμα "Πιστοποιητικά" και αντιγράψτε το στην καρτέλα "Σύνθεση".

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Χρειαζόμαστε το αποτύπωμα.

Είναι καλύτερα να το φέρετε αμέσως στη σωστή μορφή - μόνο κεφαλαία γράμματα και χωρίς κενά, εάν υπάρχουν. Αυτό μπορεί να γίνει εύκολα στην κονσόλα PowerShell με την εντολή:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Έχοντας λάβει το δακτυλικό αποτύπωμα στην απαιτούμενη μορφή, μπορείτε να υπογράψετε με ασφάλεια το αρχείο rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Όπου .contoso.rdp είναι η απόλυτη ή σχετική διαδρομή προς το αρχείο μας.

Μετά την υπογραφή του αρχείου, δεν θα είναι πλέον δυνατή η αλλαγή ορισμένων παραμέτρων μέσω της γραφικής διεπαφής, όπως το όνομα διακομιστή (πραγματικά, διαφορετικά τι νόημα έχει η υπογραφή;) Και αν αλλάξετε τις ρυθμίσεις με ένα πρόγραμμα επεξεργασίας κειμένου, τότε η υπογραφή «πετάει».

Τώρα, όταν κάνετε διπλό κλικ στη συντόμευση, το μήνυμα θα είναι διαφορετικό:

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Ένα νέο μήνυμα. Το χρώμα είναι λιγότερο επικίνδυνο, έχει ήδη προχωρήσει.

Ας τον ξεφορτωθούμε κι εμείς.

Βήμα δυο. Και πάλι ζητήματα εμπιστοσύνης

Για να απαλλαγούμε από αυτό το μήνυμα θα χρειαστούμε ξανά Group Policy. Αυτή τη φορά ο δρόμος βρίσκεται στην ενότητα Διαμόρφωση υπολογιστή - Πολιτικές - Πρότυπα διαχείρισης - Στοιχεία Windows - Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας - Πελάτης σύνδεσης απομακρυσμένης επιφάνειας εργασίας - Καθορίστε τα δακτυλικά αποτυπώματα SHA1 των πιστοποιητικών που αντιπροσωπεύουν αξιόπιστους εκδότες RDP.

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Χρειαζόμαστε μια πολιτική.

Στην πολιτική, αρκεί να προσθέσουμε το δακτυλικό αποτύπωμα που μας είναι ήδη γνωστό από το προηγούμενο βήμα.

Αξίζει να σημειωθεί ότι αυτή η πολιτική παρακάμπτει την πολιτική "Να επιτρέπονται αρχεία RDP από έγκυρους εκδότες και προσαρμοσμένες προεπιλεγμένες ρυθμίσεις RDP".

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Ρυθμισμένη πολιτική.

Voila, τώρα δεν υπάρχουν περίεργες ερωτήσεις - απλώς ένα αίτημα για σύνδεση και κωδικό πρόσβασης. Χμ…

Βήμα τρίτο. Διαφανής σύνδεση στο διακομιστή

Πράγματι, εάν έχουμε ήδη συνδεθεί στον υπολογιστή τομέα, τότε γιατί πρέπει να εισάγουμε ξανά τα ίδια στοιχεία σύνδεσης και κωδικό πρόσβασης; Ας μεταφέρουμε τα διαπιστευτήρια στον διακομιστή "διαφανώς". Στην περίπτωση του απλού RDP (χωρίς τη χρήση της πύλης RDS), θα έρθουμε στη διάσωση ... Αυτό είναι σωστό, πολιτική ομάδας.

Πηγαίνουμε στην ενότητα: Διαμόρφωση υπολογιστή - Πολιτικές - Πρότυπα διαχείρισης - Σύστημα - Διαβίβαση διαπιστευτηρίων - Να επιτρέπεται η μεταφορά προεπιλεγμένων διαπιστευτηρίων.

Εδώ μπορείτε να προσθέσετε τους απαιτούμενους διακομιστές στη λίστα ή να χρησιμοποιήσετε έναν χαρακτήρα μπαλαντέρ. Θα μοιάζει TERMSRV/trm.contoso.com ή TERMSRV/*.contoso.com.

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Ρυθμισμένη πολιτική.

Τώρα, αν κοιτάξετε την ετικέτα μας, θα μοιάζει κάπως έτσι:

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Το όνομα χρήστη δεν μπορεί να αλλάξει.

Εάν χρησιμοποιείται το RDS Gateway, θα πρέπει επίσης να επιτρέψετε τη μεταφορά δεδομένων σε αυτό. Για να το κάνετε αυτό, στη διαχείριση IIS, πρέπει να απενεργοποιήσετε τον ανώνυμο έλεγχο ταυτότητας στις "Μέθοδοι ελέγχου ταυτότητας" και να ενεργοποιήσετε τον έλεγχο ταυτότητας των Windows.

Απαλλαγείτε από ενοχλητικές προειδοποιήσεις κατά τη σύνδεση σε έναν τερματικό διακομιστή

Ρυθμισμένες υπηρεσίες IIS.

Μην ξεχάσετε να επανεκκινήσετε τις υπηρεσίες Ιστού όταν τελειώσετε με την εντολή:

iisreset /noforce

Τώρα όλα είναι καλά, χωρίς ερωτήσεις ή απορίες.

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Πείτε μου, υπογράφετε ετικέτες RDP για τους χρήστες σας;

  • 43%Όχι, είναι εκπαιδευμένοι να πατούν "OK" σε μηνύματα χωρίς να διαβάζουν, μερικοί βάζουν ακόμη και οι ίδιοι τα πλαίσια ελέγχου "Μην ρωτάς ξανά".28

  • 29.2%Τοποθετώ προσεκτικά την ετικέτα με τα χέρια μου και κάνω την πρώτη σύνδεση στο διακομιστή μαζί με κάθε χρήστη.19

  • 6.1%Λατρεύω βέβαια την τάξη σε όλα.4

  • 21.5%Δεν χρησιμοποιώ διακομιστές τερματικών.14

Ψήφισαν 65 χρήστες. 14 χρήστες απείχαν.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο