Antaŭ ne longe, ni efektivigis solvon sur Vindoza fina servilo. Kiel kutime, ili ĵetis ŝparvojojn por konekti al la labortabloj de dungitoj, kaj diris - laboro. Sed uzantoj montriĝis timigitaj de Cibersekureco. Kaj kiam vi konektas al la servilo, vi vidas mesaĝojn kiel: "Ĉu vi fidas ĉi tiun servilon? Ĝuste, ekzakte?”, Ili ektimis kaj turnis sin al ni - sed ĉu ĉio estas en ordo, ĉu mi povas alklaki OK? Tiam oni decidis fari ĉion bele, por ke ne estu demandoj aŭ paniko.

Se viaj uzantoj ankoraŭ venas al vi kun similaj timoj, kaj vi estas laca de tiktakado "Ne demandu denove" - ​​bonvenon sub kato.

Nula paŝo. Trejnado kaj Fido-Temoj

Do, nia uzanto klakas sur la konservita dosiero kun la etendo .rdp kaj ricevas la jenan peton:

Malica konekto.

Por forigi ĉi tiun fenestron, uzu specialan ilon nomatan RDPSign.exe. Plena dokumentaro haveblas, kiel kutime, ĉe oficiala retejo, kaj ni analizos ekzemplon de uzo.

Unue ni devas preni atestilon por subskribi la dosieron. Li povas esti:

• Publiko.
• Eldonita de interna Atestila Aŭtoritato.
• Tute memsubskribita.

La plej grava afero estas, ke la atestilo havas la kapablon subskribi (jes, vi povas elekti
EDS-kontistoj), kaj klientkomputiloj fidis lin. Ĉi tie mi uzos memsubskribitan atestilon.

Lasu min memorigi al vi, ke fido je memsubskribita atestilo povas esti organizita per grupaj politikoj. Iom pli da detaloj - sub la spoiler.

Kiel Fari Atestilon Fidinda kun la Magio de GPO

Unue, vi devas preni ekzistantan atestilon sen privata ŝlosilo en .cer-formato (ĉi tio povas esti farita per eksporto de la atestilo el la aligaĵo Atestiloj) kaj meti ĝin en retdosierujon alirebla por uzantoj por legi. Post tio, vi povas agordi Gruppolitikon.

Importi atestilon estas agordita en la sekcio: Komputila Agordo - Politikoj - Vindoza Agordo - Sekurecaj Agordoj - Publikaj Ŝlosilaj Politikoj - Fidindaj Radikaj Atestaj Aŭtoritatoj. Poste, dekstre alklaku por importi la atestilon.

La agordita politiko.

La klientkomputiloj nun fidos la memsubskribitan atestilon.

Se la fidoproblemoj estas solvitaj, ni iras rekte al la subskriba problemo.

Paŝo unu. Balaante subskribante la dosieron

Estas atestilo, nun vi devas eltrovi ĝian fingrospuron. Nur malfermu ĝin en la klapo "Atestiloj" kaj kopiu ĝin sur la langeto "Kunmetaĵo".

Ni bezonas la premsignon.

Pli bone estas tuj alporti ĝin al la ĝusta formo - nur ĉapelitaj literoj kaj sen spacetoj, se ekzistas. Estas oportune fari tion en la PowerShell-konzolo per la komando:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Ricevinte presaĵon en la dezirata formato, vi povas sekure subskribi la rdp-dosieron:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Kie .contoso.rdp estas la absoluta aŭ relativa vojo al nia dosiero.

Post kiam la dosiero estos subskribita, ne plu eblos ŝanĝi kelkajn el la parametroj per la grafika interfaco, kiel la servilnomo (vere, alie, kia estas la signifo de subskribo?) Kaj se vi ŝanĝas la agordojn per tekstredaktilo, tiam la subskribo "flugas".

Nun, kiam vi duoble alklakas la etikedon, la mesaĝo estos malsama:

Nova mesaĝo. La koloro estas malpli danĝera, jam progresas.

Ni ankaŭ forigu lin.

Paŝo du. Kaj denove demandoj de fido

Por forigi ĉi tiun mesaĝon, ni denove bezonas grupan politikon. Ĉi-foje la vojo troviĝas en la sekcio Komputila Agordo - Politikoj - Administraj Ŝablonoj - Vindozaj Komponantoj - Foraj Labortablo-Servoj - Malproksima Labortabla Konekto Kliento - Specifi SHA1-fingrospurojn de atestiloj reprezentantaj fidindajn RDP-eldonejojn.

Ni bezonas politikon.

En la politiko, sufiĉas aldoni la premsignon jam konatan al ni de la antaŭa paŝo.

Indas noti, ke ĉi tiu politiko superregas la politikon "Permesi RDP-dosierojn de validaj eldonistoj kaj kutimajn defaŭltajn RDP-agordojn".

La agordita politiko.

Voila, nun neniuj strangaj demandoj - nur ensalut-pasvorta peto. Hm…

Paŝo tri. Travidebla ensaluto al la servilo

Efektive, se ni jam ensalutis al la domajna komputilo, kial do ni devas reenigi la saman ensaluton kaj pasvorton? Ni transdonu la akreditaĵojn al la servilo "travideble". En la kazo de simpla RDP (sen uzi RDS Gateway), ni venos al la rekupero... Ĝuste, gruppolitiko.

Ni iras al la sekcio: Komputila Agordo - Politikoj - Administraj Ŝablonoj - Sistemo - Transdono de akreditaĵoj - Permesi la translokigon de defaŭltaj akreditaĵoj.

Ĉi tie vi povas aldoni la necesajn servilojn al la listo aŭ uzi ĵokeron. Ĝi aspektos kiel TERMSRV/trm.contoso.com aŭ TERMSRV/*.contoso.com.

La agordita politiko.

Nun, se vi rigardas nian etikedon, ĝi aspektos kiel ĉi tio:

Ne ŝanĝu la uzantnomon.

Se RDS Gateway estas uzata, vi ankaŭ devos permesi transdonon de datumoj sur ĝi. Por fari tion, en la IIS-administranto, vi devas malŝalti anoniman aŭtentikigon en la "Aŭtentikigaj Metodoj" kaj ebligi Vindozan aŭtentikigon.

agordita IIS.

Ne forgesu rekomenci la retservojn per la komando:

iisreset /noforce

Nun ĉio estas en ordo, neniuj demandoj kaj petoj.

Nur registritaj uzantoj povas partopreni la enketon. Ensaluti, bonvolu.

Diru al mi, ĉu vi subskribas RDP-etikedojn por viaj uzantoj?

• 43%Ne, ili estas trejnitaj por premi "Bone" en mesaĝoj sen legi, iuj eĉ metas markobutonojn "Ne demandu denove".28

• 29.2%Mi zorge metas la etikedon per miaj manoj kaj faras la unuan ensalutadon al la servilo kune kun ĉiu uzanto.19

• 6.1%Kompreneble mi ŝatas ĉion en ordo.4

• 21.5%Mi ne uzas terminalservilojn.14

65 uzantoj voĉdonis. 14 uzantoj sindetenis.

fonto: www.habr.com