Duela ez asko irtenbide bat ezarri genuen Windows terminal zerbitzari batean. Ohi bezala, konexio lasterbideak bota zituzten langileen mahaietara eta lan egiteko esan zieten. Baina erabiltzaileak beldurtuta agertu ziren Zibersegurtasunaren aldetik. Eta zerbitzariarekin konektatzean, honelako mezuak ikustean: βFidatzen al zara zerbitzari honetan? Zehazki?β, beldurtu egin ziren eta guregana jo zuten - dena ondo dago, OK sakatu al dezakegu? Orduan dena ederki egitea erabaki zen, galderarik edo izurik egon ez zedin.
Zure erabiltzaileak oraindik antzeko beldurrekin etortzen bazaizkizu eta "Ez galdetu berriro" laukia markatzeaz nekatuta bazaude, ongi etorri katuari.
Zero urratsa. Prestaketa eta konfiantza arazoak
Beraz, gure erabiltzaileak .rdp luzapena duen gordetako fitxategian klik egiten du eta eskaera hau jasotzen du:
Konexio "maltzurra"..
Leiho hau kentzeko, erabili izeneko tresna berezi bat RDPSign.exe. Dokumentazio osoa eskuragarri dago, ohi bezala, helbidean , eta erabilera adibide bat ikusiko dugu.
Lehenik eta behin, fitxategia sinatzeko ziurtagiri bat hartu behar dugu. Izan daiteke:
- Publiko.
- Barne Ziurtagiri Agintaritzaren zerbitzuak emana.
- Guztiz autosinatua.
Garrantzitsuena da ziurtagiriak sinatzeko gaitasuna duela (bai, hauta dezakezu
kontu-hartzaileek sinadura digitala dute), eta bezeroen ordenagailuek harengan konfiantza zuten. Hemen autosinatutako ziurtagiri bat erabiliko dut.
Gogorarazten dizut autosinatutako ziurtagiri batean konfiantza talde-politikak erabiliz antola daitekeela. Xehetasun apur bat gehiago spoiler azpian daude.
Nola egin ziurtagiri bat fidagarria GPOren magia erabiliz
Lehenik eta behin, dagoen ziurtagiria .cer formatuan gako pribaturik gabe hartu behar duzu (Zurtagiriak snap-in-etik ziurtagiria esportatuz egin daiteke) eta erabiltzaileek irakur dezaketen sareko karpeta batean jarri behar duzu. Horren ondoren, Talde-politika konfigura dezakezu.
Ziurtagirien inportazioa atalean konfiguratzen da: Ordenagailuaren konfigurazioa - Politikak - Windows-en konfigurazioa - Segurtasun-ezarpenak - Gako publikoen politikak - Erro Ziurtagiri Fidagarriak. Ondoren, egin klik eskuineko botoiarekin ziurtagiria inportatzeko.
Konfiguratutako politika.
Bezeroen ordenagailuek orain norberak sinatutako ziurtagirian fidatuko dira.
Konfiantza arazoak konpontzen badira, zuzenean sinadura arazora pasako gara.
Lehen urratsa. Espedientea modu zabalean sinatzen dugu
Ziurtagiri bat dago, orain bere hatz-marka ezagutu behar duzu. Ireki "Ziurtagiriak" snap-in eta kopiatu "Konposizioa" fitxan.
Behar dugun hatz-marka.
Hobe da berehala era egokian ekartzea - ββletra larriak bakarrik eta zuriunerik ez, halakorik badago. Hau eroso egin daiteke PowerShell kontsolan komandoarekin:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Hatz-marka beharrezko formatuan jaso ondoren, rdp fitxategia segurtasunez sina dezakezu:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Non .contoso.rdp gure fitxategirako bide absolutua edo erlatiboa den.
Fitxategia sinatuta dagoenean, jada ezin izango dira parametro batzuk aldatu interfaze grafikoaren bidez, hala nola zerbitzariaren izena (benetan, bestela, zertarako balio du sinatzeak?) Eta ezarpenak testu-editore batekin aldatzen badituzu, sinadura "hegan egiten du".
Orain lasterbidean bikoitza egiten duzunean mezua ezberdina izango da:
Mezu berri bat. Kolorea ez da hain arriskutsua, dagoeneko aurrera.
Kendu dezagun hura ere.
Bigarren urratsa. Eta berriro konfiantzazko galderak
Mezu hau kentzeko Talde-politikak beharko ditugu berriro. Oraingo honetan, Konputagailuaren Konfigurazioa - Politikak - Txantiloi Administratiboak - Windows Osagaiak - Urruneko Mahaigaineko Zerbitzuak - Urruneko Mahaigaineko Konexio Bezeroa - Zehaztu RDP argitaletxe fidagarrien ziurtagirien SHA1 hatz-markak.
Behar dugun politika.
Politikan nahikoa da aurreko urratsetik jada ezaguna zaigun hatz-marka gehitzea.
Kontuan izan behar da politika honek baliozko argitaletxeen RDP fitxategiak eta RDP ezarpen pertsonalizatuen gidalerro lehenetsiak gainidazten dituela.
Konfiguratutako politika.
Voila, orain galdera arrarorik ez - saio-hasiera eta pasahitz eskaera bat besterik ez. Hmβ¦
Hirugarren urratsa. Saio-hasiera gardena zerbitzarian
Izan ere, domeinuko ordenagailu batean saioa hasten badugu dagoeneko, zergatik sartu behar dugu berriro saio-hasiera eta pasahitz bera? Transferi ditzagun kredentzialak zerbitzarira "garden". RDP soilaren kasuan (RDS Gateway erabili gabe),... Hori bai, talde-politika gure laguntza etorriko da.
Joan atala: Ordenagailuaren konfigurazioa - Politikak - Txantiloi administratiboak - Sistema - Kredentzialak transferitzea - ββKredentzial lehenetsiak transferitzea baimendu.
Hemen beharrezkoak diren zerbitzariak gehi ditzakezu zerrendara edo komodin bat erabil dezakezu. Itxura izango du TERMSRV/trm.contoso.com edo TERMSRV/*.contoso.com.
Konfiguratutako politika.
Orain, gure etiketari begiratzen badiozu, honelako itxura izango du:
Ezin da erabiltzaile-izena aldatu.
RDS Gateway erabiltzen baduzu, bertan datu-transferentzia ere gaitu beharko duzu. Horretarako, IIS kudeatzailean, "Autentifikazio metodoak" atalean egiaztapen anonimoa desgaitu eta Windows autentifikazioa gaitu behar duzu.
IIS konfiguratua.
Ez ahaztu web zerbitzuak berrabiaraztea komandoarekin amaitutakoan:
iisreset /noforce
Orain dena ondo dago, galderarik edo galderarik gabe.
Erregistratutako erabiltzaileek soilik parte hartu dezakete inkestan. , mesedez.
Esadazu, RDP etiketak sinatzen al dituzu zure erabiltzaileentzat?
-
43%Ez, ohituta daude mezuetan "Ados" sakatzen haiek irakurri gabe, batzuk beraiek ere markatzen dituzte "Ez galdetu berriro" koadroak.28
-
29.2%Kontu handiz jartzen dut etiketa eskuekin eta erabiltzaile bakoitzarekin batera zerbitzarian lehen saioa egiten dut.19
-
6.1%Noski, ordena maite dut denetan.4
-
21.5%Ez dut terminal zerbitzaririk erabiltzen.14
65 erabiltzailek eman dute botoa. 14 erabiltzaile abstenitu ziren.
Iturria: www.habr.com