Ei niin kauan sitten otimme käyttöön ratkaisun Windows-päätepalvelimelle. Kuten tavallista, he heittivät pikakuvakkeita yhteyden muodostamiseksi työntekijöiden työpöydälle ja sanoivat - työtä. Käyttäjiä kuitenkin pelotti kyberturvallisuus. Ja kun muodostat yhteyden palvelimeen, näet viestejä, kuten: "Luotatko tähän palvelimeen? Täsmälleen, tarkalleen? ”, He pelästyivät ja kääntyivät puoleemme - mutta onko kaikki kunnossa, voinko napsauttaa OK? Sitten päätettiin tehdä kaikki kauniisti, jotta ei olisi kysymyksiä tai paniikkia.
Jos käyttäjäsi tulevat edelleen luoksesi samoilla peloilla ja olet kyllästynyt rastittamaan ”Älä kysy uudelleen” - tervetuloa kissan alle.
Nolla askelta. Koulutus- ja luottamuskysymykset
Joten käyttäjämme napsauttaa tallennettua tiedostoa .rdp-tunnisteella ja saa seuraavan pyynnön:
Haitallinen yhteys.
Päästäksesi eroon tästä ikkunasta, käytä erityistä apuohjelmaa nimeltä RDPSign.exe. Täydelliset asiakirjat ovat saatavilla tuttuun tapaan osoitteessa
Ensin meidän on otettava sertifikaatti tiedoston allekirjoittamista varten. Hän voi olla:
- Julkinen.
- Sisäisen varmenteen myöntäjän myöntämä.
- Täysin itse allekirjoitettu.
Tärkeintä on, että varmenteessa on allekirjoituskyky (kyllä, voit valita
EDS-kirjanpitäjät) ja asiakastietokoneet luottivat häneen. Käytän tässä itse allekirjoitettua varmennetta.
Haluan muistuttaa, että luottamus itseallekirjoitettuun varmenteeseen voidaan järjestää ryhmäkäytäntöjen avulla. Hieman lisätietoja - spoilerin alla.
Kuinka tehdä GPO:n taikuudella luotettava sertifikaatti
Ensin sinun on otettava olemassa oleva varmenne ilman yksityistä avainta .cer-muodossa (tämä voidaan tehdä viemällä varmenne Sertifikaatit-laajennuksesta) ja sijoittaa se verkkokansioon, jota käyttäjät voivat lukea. Tämän jälkeen voit määrittää ryhmäkäytännön.
Varmenteen tuonti määritetään osiossa: Tietokoneen asetukset - Käytännöt - Windows-asetukset - Suojausasetukset - Julkisen avaimen käytännöt - Luotetut juurivarmentajat. Napsauta seuraavaksi hiiren kakkospainikkeella tuodaksesi varmenteen.
Määritetty käytäntö.
Asiakastietokoneet luottavat nyt itse allekirjoitettuun varmenteeseen.
Jos luottamusongelmat ratkeavat, siirrymme suoraan allekirjoitusongelmaan.
Ensimmäinen askel. Lakaisevasti allekirjoittaa tiedoston
Varmenne on, nyt sinun on selvitettävä sen sormenjälki. Avaa se "Sertifikaatit"-laajennuksessa ja kopioi se "Sävellys"-välilehdelle.
Tarvitsemme jäljen.
On parempi viedä se heti oikeaan muotoon - vain isot kirjaimet ja ilman välilyöntejä, jos sellaisia on. Tämä on kätevää tehdä PowerShell-konsolissa komennolla:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Saatuasi tulosteen halutussa muodossa, voit allekirjoittaa rdp-tiedoston turvallisesti:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Missä .contoso.rdp on absoluuttinen tai suhteellinen polku tiedostoomme.
Kun tiedosto on allekirjoitettu, joitain parametreja, kuten palvelimen nimeä, ei enää voi muuttaa graafisen käyttöliittymän kautta (todella, mitä järkeä muuten allekirjoittaa?) Ja jos muutat asetuksia tekstieditorilla, sitten allekirjoitus "lentää".
Nyt kun kaksoisnapsautat tarraa, viesti on erilainen:
Uusi viesti. Väri on vähemmän vaarallinen, jo edistystä.
Päästään hänestäkin eroon.
Vaihe kaksi. Ja taas luottamuskysymyksiä
Jotta pääsemme eroon tästä viestistä, tarvitsemme jälleen ryhmäkäytännön. Tällä kertaa tie kulkee osiossa Tietokoneen kokoonpano - Käytännöt - Hallintamallit - Windows-komponentit - Etätyöpöytäpalvelut - Etätyöpöytäyhteysasiakas - Määritä luotettavia RDP-julkaisijoita edustavien sertifikaattien SHA1-sormenjäljet.
Tarvitsemme politiikkaa.
Vakuutukseen riittää, että lisätään meille jo edellisestä vaiheesta tuttu jälki.
On syytä huomata, että tämä käytäntö ohittaa Salli RDP-tiedostot kelvollisilta julkaisijoilta ja mukautetut RDP-oletusasetukset -käytännön.
Määritetty käytäntö.
Voila, nyt ei outoja kysymyksiä - vain sisäänkirjautumissalasanapyyntö. Hm…
Vaihe kolme. Läpinäkyvä kirjautuminen palvelimelle
Todellakin, jos olemme jo kirjautuneet verkkotunnuksen tietokoneeseen, miksi meidän on syötettävä sama kirjautumistunnus ja salasana uudelleen? Välitetään tunnistetiedot palvelimelle "läpinäkyvästi". Yksinkertaisen RDP:n tapauksessa (ilman RDS Gatewayn käyttöä) tulemme apuun... Aivan oikein, ryhmäkäytäntö.
Siirrymme osioon: Tietokoneen asetukset - Käytännöt - Hallintamallit - Järjestelmä - Tunnistetietojen välittäminen - Salli oletustunnistetietojen siirto.
Täällä voit lisätä tarvittavat palvelimet luetteloon tai käyttää jokerimerkkiä. Se näyttää siltä TERMSRV/trm.contoso.com tai TERMSRV/*.contoso.com.
Määritetty käytäntö.
Nyt, jos katsot etikettiämme, se näyttää suunnilleen tältä:
Älä muuta käyttäjätunnusta.
Jos RDS-yhdyskäytävää käytetään, sinun on myös sallittava tiedonsiirto siinä. Tätä varten sinun on poistettava anonyymi todennus IIS-hallinnassa "Authentication Methods" -kohdassa ja otettava Windows-todennus käyttöön.
määritetty IIS.
Älä unohda käynnistää verkkopalvelut uudelleen komennolla:
iisreset /noforce
Nyt kaikki on hyvin, ei kysymyksiä ja pyyntöjä.
Vain rekisteröityneet käyttäjät voivat osallistua kyselyyn.
Kerro minulle, allekirjoitatko RDP-tarrat käyttäjillesi?
-
43%Ei, heidät on koulutettu painamaan "OK" viesteissä lukematta, jotkut jopa laittavat itse "Älä kysy uudelleen" -valintaruudut.28
-
29.2%Asetan etiketin varovasti käsilläni ja teen ensimmäisen kirjautumisen palvelimelle yhdessä jokaisen käyttäjän kanssa.19
-
6.1%Tietysti pidän kaikesta järjestyksessä.4
-
21.5%En käytä päätepalvelimia.14
65 käyttäjää äänesti. 14 käyttäjää pidättyi äänestämästä.
Lähde: will.com