ProHoster > Blog > administration > Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Il n'y a pas si longtemps, nous avons implémenté une solution sur un serveur de terminaux Windows. Comme d'habitude, ils ont jeté des raccourcis pour se connecter aux ordinateurs de bureau des employés et ont dit - travail. Mais les utilisateurs se sont avérés intimidés par la cybersécurité. Et lors de la connexion au serveur, voir des messages du type : « Faites-vous confiance à ce serveur ? Exactement, exactement? », Ils ont eu peur et se sont tournés vers nous - mais est-ce que tout va bien, puis-je cliquer sur OK? Ensuite, il a été décidé de tout faire magnifiquement, afin qu'il n'y ait pas de questions ni de panique.

Si vos utilisateurs viennent toujours vers vous avec des craintes similaires et que vous en avez assez de cocher "Ne plus demander" - bienvenue sous cat.

Pas zéro. Problèmes de formation et de confiance

Ainsi, notre utilisateur clique sur le fichier enregistré avec l'extension .rdp et reçoit la requête suivante :

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Connexion malveillante.

Pour vous débarrasser de cette fenêtre, utilisez un utilitaire spécial appelé RDPSign.exe. Une documentation complète est disponible, comme d'habitude, sur le site officiel, et nous analyserons un exemple d'utilisation.

Nous devons d'abord prendre un certificat pour signer le fichier. Il peut être:

  • Public.
  • Émis par une autorité de certification interne.
  • Entièrement auto-signé.

Le plus important est que le certificat ait la capacité de signer (oui, vous pouvez sélectionner
comptables EDS), et les PC clients lui ont fait confiance. Ici, je vais utiliser un certificat auto-signé.

Permettez-moi de vous rappeler que la confiance dans un certificat auto-signé peut être organisée à l'aide de stratégies de groupe. Un peu plus de détails - sous le spoiler.

Comment faire un certificat de confiance avec la magie de GPO

Tout d'abord, vous devez prendre un certificat existant sans clé privée au format .cer (cela peut être fait en exportant le certificat à partir du composant logiciel enfichable Certificats) et le placer dans un dossier réseau accessible aux utilisateurs pour lecture. Après cela, vous pouvez configurer la stratégie de groupe.

L'importation d'un certificat est configurée dans la section : Configuration ordinateur - Stratégies - Configuration Windows - Paramètres de sécurité - Stratégies de clé publique - Autorités de certification racines de confiance. Ensuite, faites un clic droit pour importer le certificat.

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

La stratégie configurée.

Les PC clients feront désormais confiance au certificat auto-signé.

Si les problèmes de confiance sont résolus, nous passons directement au problème de signature.

La première étape. Signature rapide du fichier

Il existe un certificat, vous devez maintenant connaître son empreinte digitale. Ouvrez-le simplement dans le composant logiciel enfichable "Certificats" et copiez-le dans l'onglet "Composition".

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Nous avons besoin de l'empreinte.

Il est préférable de le mettre immédiatement sous la forme appropriée - uniquement en majuscules et sans espaces, le cas échéant. Il est pratique de le faire dans la console PowerShell avec la commande :

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Après avoir reçu une impression au format souhaité, vous pouvez signer en toute sécurité le fichier rdp :

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Où .contoso.rdp est le chemin d'accès absolu ou relatif à notre fichier.

Une fois le fichier signé, il ne sera plus possible de modifier certains paramètres via l'interface graphique, comme le nom du serveur (vraiment, sinon à quoi bon signer ?) et si vous modifiez les paramètres avec un éditeur de texte, puis la signature "vole".

Maintenant, lorsque vous double-cliquez sur l'étiquette, le message sera différent :

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Un nouveau message. La couleur est moins dangereuse, déjà en progrès.

Débarrassons-nous de lui aussi.

Deuxième étape. Et encore des questions de confiance

Pour se débarrasser de ce message, nous avons à nouveau besoin d'une stratégie de groupe. Cette fois, la route se trouve dans la section Configuration ordinateur - Stratégies - Modèles d'administration - Composants Windows - Services Bureau à distance - Client de connexion Bureau à distance - Spécifiez les empreintes digitales SHA1 des certificats représentant les éditeurs RDP de confiance.

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Nous avons besoin d'une politique.

Dans la politique, il suffit d'ajouter l'empreinte qui nous est déjà familière à l'étape précédente.

Il convient de noter que cette politique remplace la politique "Autoriser les fichiers RDP des éditeurs valides et les paramètres RDP par défaut personnalisés".

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

La stratégie configurée.

Voila, maintenant plus de questions étranges - seulement une demande de mot de passe de connexion. Hum…

Troisième étape. Connexion transparente au serveur

En effet, si nous nous sommes déjà connectés à l'ordinateur du domaine, alors pourquoi devons-nous ressaisir le même login et mot de passe ? Passons les informations d'identification au serveur "de manière transparente". Dans le cas du RDP simple (sans utiliser RDS Gateway), on viendra à la rescousse... C'est ça, la stratégie de groupe.

Nous passons à la section : Configuration de l'ordinateur - Stratégies - Modèles d'administration - Système - Transmission des informations d'identification - Autoriser le transfert des informations d'identification par défaut.

Ici, vous pouvez ajouter les serveurs nécessaires à la liste ou utiliser un caractère générique. Il ressemblera TERMSRV/trm.contoso.com ou TERMESRV/*.contoso.com.

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

La stratégie configurée.

Maintenant, si nous regardons notre étiquette, elle ressemblera à ceci :

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

Ne modifiez pas le nom d'utilisateur.

Si la passerelle RDS est utilisée, vous devrez également autoriser le transfert de données sur celle-ci. Pour ce faire, dans IIS Manager, vous devez désactiver la vérification anonyme dans les "Méthodes d'authentification" et activer l'authentification Windows.

Se débarrasser des avertissements gênants lors de l'entrée dans le serveur terminal

IIS configuré.

N'oubliez pas de redémarrer les services web avec la commande :

iisreset /noforce

Maintenant tout va bien, pas de questions ni de demandes.

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Dites-moi, signez-vous des étiquettes RDP pour vos utilisateurs ?

  • 43%Non, ils sont formés pour appuyer sur « OK » dans les messages sans les lire, certains cochent même eux-mêmes « Ne plus demander ».28

  • 29.2%Je place soigneusement l'étiquette avec mes mains et fais la première connexion au serveur avec chaque utilisateur.19

  • 6.1%Bien sûr, j'aime tout dans l'ordre.4

  • 21.5%Je n'utilise pas de serveurs de terminaux.14

65 utilisateurs ont voté. 14 utilisateurs se sont abstenus.

Source: habr.com

Ajouter un commentaire