No hace mucho implementamos una solución en un servidor de terminales. WindowsComo de costumbre, les instalamos accesos directos en sus ordenadores y les dijimos que se pusieran a trabajar. Pero los usuarios se sentían intimidados por la ciberseguridad. Al conectarse al servidor, veían mensajes como "¿Confías en este servidor? ¿Estás seguro?", lo que los asustaba y nos preguntaba si todo estaba bien y si podían hacer clic en Aceptar. Así que decidimos mejorar la interfaz para evitar dudas y pánico.
Si sus usuarios todavía acuden a usted con temores similares y usted está cansado de marcar "No volver a preguntar", bienvenido en cat.
Paso cero. Problemas de formación y confianza
Entonces, nuestro usuario hace clic en el archivo guardado con la extensión .rdp y recibe la siguiente solicitud:
Conexión maliciosa.
Para deshacerse de esta ventana, utilice una utilidad especial llamada RDPSign.exe. La documentación completa está disponible, como es habitual, en , y analizaremos un ejemplo de uso.
Primero necesitamos obtener un certificado para firmar el archivo. El puede ser:
- Público.
- Emitido por una Autoridad de Certificación interna.
- Completamente autofirmado.
Lo más importante es que el certificado tenga la capacidad de firmar (sí, puedes seleccionar
Los contables de EDS) y los PC de los clientes confiaron en él. Aquí usaré un certificado autofirmado.
Permítame recordarle que la confianza en un certificado autofirmado se puede organizar mediante políticas de grupo. Un poco más de detalles, debajo del spoiler.
Cómo crear un certificado en el que se confíe la magia de GPO
Primero, debe tomar un certificado existente sin una clave privada en formato .cer (esto se puede hacer exportando el certificado desde el complemento Certificados) y colocarlo en una carpeta de red a la que los usuarios puedan acceder para leer. Después de eso, puede configurar la Política de grupo.
La importación de certificados se configura en la sección: Configuración del equipo - Directivas - Configuración Windows — Configuración de seguridad — Directivas de clave pública — Autoridades de certificación raíz de confianza. A continuación, haga clic con el botón derecho e importe el certificado.
La política configurada.
Las PC cliente ahora confiarán en el certificado autofirmado.
Si se resuelven los problemas de confianza, pasamos directamente al tema de la firma.
Paso uno. Firma radical del expediente
Hay un certificado, ahora necesitas averiguar su huella digital. Simplemente ábralo en el complemento "Certificados" y cópielo en la pestaña "Composición".
Necesitamos la huella.
Es mejor darle inmediatamente la forma adecuada: solo letras mayúsculas y sin espacios, si los hay. Es conveniente hacer esto en la consola de PowerShell con el comando:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Habiendo recibido una impresión en el formato deseado, puede firmar de forma segura el archivo rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Donde .contoso.rdp es la ruta absoluta o relativa a nuestro archivo.
Una vez firmado el archivo, ya no será posible cambiar algunos de los parámetros a través de la interfaz gráfica, como el nombre del servidor (en realidad, de lo contrario, ¿qué sentido tiene firmar?) Y si cambia la configuración con un editor de texto, entonces la firma "vuela".
Ahora, al hacer doble clic en la etiqueta, el mensaje será diferente:
Un nuevo mensaje. El color es menos peligroso, ya hay progreso.
Deshagámonos de él también.
Segundo paso. Y nuevamente cuestiones de confianza.
Para eliminar este mensaje, necesitaremos nuevamente la Directiva de grupo. Esta vez, la ruta se encuentra en Configuración del equipo - Directivas - Plantillas administrativas - Componentes. Windows — Servicios de Escritorio Remoto — Cliente de Conexión a Escritorio Remoto — Especifique las huellas digitales SHA1 de los certificados que representan a los emisores RDP de confianza.
Necesitamos una política.
En la póliza basta con añadir la huella que ya nos resulta familiar del paso anterior.
Vale la pena señalar que esta política anula la política "Permitir archivos RDP de editores válidos y configuraciones RDP predeterminadas personalizadas".
La política configurada.
Listo, ahora no hay preguntas extrañas, solo una solicitud de inicio de sesión y contraseña. Mmm...
Paso tres. Inicio de sesión transparente en el servidor
De hecho, si ya hemos iniciado sesión en la computadora del dominio, ¿por qué necesitamos volver a ingresar el mismo nombre de usuario y contraseña? Pasemos las credenciales al servidor "de forma transparente". En el caso de RDP simple (sin utilizar RDS Gateway), acudiremos al rescate... Así es, política de grupo.
Nos dirigimos a la sección: Configuración del equipo - Políticas - Plantillas administrativas - Sistema - Pasar credenciales - Permitir la transferencia de credenciales predeterminadas.
Aquí puede agregar los servidores necesarios a la lista o utilizar un comodín. se verá como TERMSRV/trm.contoso.com o TÉRMINOSRV/*.contoso.com.
La política configurada.
Ahora, si miramos nuestra etiqueta, se verá así:
No cambie el nombre de usuario.
Si utiliza RDS Gateway, también deberá habilitar la transferencia de datos. Para ello, en el Administrador de IIS, en "Métodos de autenticación", desactive la autenticación anónima y habilite la autenticación. Windows.
IIS configurado.
No olvides reiniciar los servicios web con el comando:
iisreset /noforce
Ahora todo está bien, sin preguntas ni solicitudes.
Solo los usuarios registrados pueden participar en la encuesta. por favor
Dime, ¿firmas etiquetas RDP para tus usuarios?
un 43%No, están acostumbrados a hacer clic en “Aceptar” en los mensajes sin leerlos, algunos incluso ponen “No volver a preguntar” en las propias casillas de verificación.28
un 29.2%Coloco cuidadosamente la etiqueta con mis manos y realizo el primer inicio de sesión en el servidor junto con cada usuario.19
un 6.1%Por supuesto, me gusta que todo esté en orden.4
un 21.5%No uso servidores de terminal.14
65 usuarios votaron. 14 usuarios se abstuvieron.
Fuente: habr.com
