Mitte kaua aega tagasi juurutasime lahenduse Windowsi terminaliserveris. Nagu tavaliselt, viskasid nad töötajate töölaudadele ühenduse otseteed ja käskisid neil töötada. Kuid kasutajad osutusid küberturvalisuse osas hirmutatud. Ja serveriga ühenduse loomisel näete sõnumeid nagu: "Kas usaldate seda serverit? Täpselt?”, ehmusid nad ja pöördusid meie poole – kas kõik on korras, kas saame klõpsata OK? Siis otsustati kõik ilusti ära teha, et ei tekiks küsimusi ega paanikat.
Kui teie kasutajad pöörduvad endiselt teie poole sarnaste hirmudega ja olete väsinud märkeruudust „Ära küsi uuesti”, tere tulemast kassi.
Samm null. Ettevalmistus- ja usaldusprobleemid
Seega klõpsab meie kasutaja salvestatud failil laiendiga .rdp ja saab järgmise päringu:
"Pahatahtlik" ühendus.
Sellest aknast vabanemiseks kasutage spetsiaalset utiliiti nimega RDPSign.exe. Täielik dokumentatsioon on saadaval, nagu tavaliselt, aadressil
Esiteks peame faili allkirjastamiseks võtma sertifikaadi. Ta võib olla:
- Avalik.
- Väljastatud sisemise sertifitseerimiskeskuse teenuse poolt.
- Täiesti ise allkirjastatud.
Kõige tähtsam on see, et sertifikaati saab allkirjastada (jah, saate valida
raamatupidajatel on digiallkirjad) ja kliendiarvutid usaldasid teda. Siin kasutan ise allkirjastatud sertifikaati.
Tuletan meelde, et usaldust iseallkirjastatud sertifikaadi vastu saab korraldada rühmapoliitika abil. Veidi rohkem detaile on spoileri all.
Kuidas teha GPO võlu abil sertifikaat usaldusväärseks
Esmalt tuleb võtta olemasolev sertifikaat ilma privaatvõtmeta .cer formaadis (seda saab teha sertifikaadi eksportimisel Certificates'i lisandmoodulist) ja panna see võrgukausta, mida kasutajad saavad lugeda. Pärast seda saate konfigureerida rühmapoliitika.
Sertifikaadi import on konfigureeritud jaotises: Arvuti konfiguratsioon - Poliitika - Windowsi konfiguratsioon - Turvasätted - Avaliku võtme eeskirjad - Usaldusväärsed juursertifitseerimisasutused. Järgmisena paremklõpsake sertifikaadi importimiseks.
Seadistatud poliitika.
Kliendiarvutid usaldavad nüüd iseallkirjastatud sertifikaati.
Kui usaldusprobleemid on lahendatud, liigume otse allkirjaprobleemi juurde.
Esimene samm. Allkirjastame faili põhjalikult
Sertifikaat on olemas, nüüd peate välja selgitama selle sõrmejälje. Lihtsalt avage see lisandmoodulis "Sertifikaadid" ja kopeerige see vahekaardile "Koostis".
Sõrmejälg, mida me vajame.
Parem on see kohe õigesse vormi viia - ainult suured tähed ja ilma tühikuteta, kui neid on. Seda saab mugavalt teha PowerShelli konsoolis käsuga:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Olles saanud sõrmejälje vajalikus vormingus, saate rdp-faili turvaliselt allkirjastada:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Kus .contoso.rdp on meie faili absoluutne või suhteline tee.
Kui fail on allkirjastatud, ei ole enam võimalik graafilise liidese kaudu muuta mõnda parameetrit, näiteks serveri nime (tõesti, mis on muidu allkirjastamise mõte?) Ja kui muudate sätteid tekstiredaktoriga, allkiri "lendab ära".
Nüüd, kui teete otseteel topeltklõpsu, on sõnum erinev:
Uus sõnum. Värv on vähem ohtlik, juba edeneb.
Saame temast ka lahti.
Teine samm. Ja jälle usalduse küsimused
Sellest sõnumist vabanemiseks vajame uuesti rühmapoliitikat. Seekord kulgeb tee jaotises Arvuti konfiguratsioon - Poliitika - Haldusmallid - Windowsi komponendid - Kaugtöölaua teenused - Kaugtöölaua ühenduse klient - Määrake usaldusväärseid RDP avaldajaid esindavate sertifikaatide SHA1 sõrmejäljed.
Poliitika, mida me vajame.
Poliitikas piisab meile juba eelmisest sammust tuttava sõrmejälje lisamisest.
Väärib märkimist, et see reegel alistab kehtivate avaldajate RDP-failide lubamise ja kohandatud RDP-seadete reegli.
Seadistatud poliitika.
Voila, nüüd pole kummalisi küsimusi - lihtsalt sisselogimise ja parooli taotlus. Hm…
Kolmas samm. Läbipaistev sisselogimine serverisse
Tõepoolest, kui oleme juba domeeniarvutisse sisse logides sisse loginud, siis miks me peame sama sisselogimise ja parooli uuesti sisestama? Teisaldame mandaadid serverisse "läbipaistvalt". Lihtsa RDP puhul (ilma RDS-lüüsi kasutamata) ... Just nii, grupipoliitika tuleb meile appi.
Minge jaotisse: Arvuti konfiguratsioon - Poliitika - Haldusmallid - Süsteem - Mandaatide ülekandmine - Luba vaikemandaatide ülekandmine.
Siin saate lisada loendisse vajalikud serverid või kasutada metamärki. See näeb välja nagu TERMSRV/trm.contoso.com või TERMSRV/*.contoso.com.
Seadistatud poliitika.
Nüüd, kui vaatate meie silti, näeb see välja umbes selline:
Kasutajanime ei saa muuta.
Kui kasutate RDS-lüüsi, peate lubama sellel ka andmeedastuse. Selleks peate IIS-i halduris jaotises "Autentimismeetodid" keelama anonüümse kinnitamise ja lubama Windowsi autentimise.
Konfigureeritud IIS.
Ärge unustage veebiteenuseid taaskäivitada, kui olete käsuga lõpetanud:
iisreset /noforce
Nüüd on kõik korras, küsimusi ega päringuid pole.
Küsitluses saavad osaleda ainult registreerunud kasutajad.
Ütle mulle, kas allkirjastate oma kasutajate jaoks RDP sildid?
-
43%Ei, nad on harjunud klõpsama sõnumites „OK“ ilma neid lugemata, mõned märgivad isegi ruudud „Ära küsi uuesti“.28
-
29.2%Asetan sildi ettevaatlikult kätega ja sooritan koos iga kasutajaga esimese sisselogimise serverisse.19
-
6.1%Muidugi armastan korda kõiges.4
-
21.5%Ma ei kasuta terminaliservereid.14
65 kasutajat hääletas. 14 kasutajat jäi erapooletuks.
Allikas: www.habr.com