Non hai moito tempo, implementamos unha solución nun servidor de terminal Windows. Como de costume, lanzaron atallos para conectarse aos escritorios dos empregados e dixeron: traballo. Pero os usuarios resultaron intimidados pola ciberseguridade. E ao conectarse ao servidor, ver mensaxes como: "Confías neste servidor? Exactamente, exactamente? ", Asustáronse e volvéronse cara a nós, pero está todo ben, podo facer clic en Aceptar? Entón decidiuse facer todo moi ben, para que non houbese preguntas nin pánico.
Se os teus usuarios aínda chegan a ti con medos similares e estás canso de marcar "Non volver preguntar" - benvido en gato.
Paso cero. Cuestións de formación e confianza
Entón, o noso usuario fai clic no ficheiro gardado coa extensión .rdp e recibe a seguinte solicitude:
Conexión maliciosa.
Para desfacerse desta xanela, use unha utilidade especial chamada RDPSign.exe. A documentación completa está dispoñible, como é habitual, en
Primeiro necesitamos levar un certificado para asinar o ficheiro. Pode ser:
- Público.
- Emitido por unha autoridade de certificación interna.
- Completamente autofirmado.
O máis importante é que o certificado teña a capacidade de asinar (si, podes seleccionar
contadores de EDS), e os ordenadores clientes confiaban nel. Aquí usarei un certificado autoasinado.
Permíteme recordarche que a confianza nun certificado autoasinado pódese organizar mediante políticas de grupo. Un pouco máis de detalles - baixo o spoiler.
Como facer un certificado de confianza coa maxia de GPO
En primeiro lugar, cómpre coller un certificado existente sen clave privada en formato .cer (isto pódese facer exportando o certificado desde o complemento Certificados) e poñelo nun cartafol de rede ao que os usuarios poidan ler. Despois diso, pode configurar a política de grupo.
A importación dun certificado configúrase na sección: Configuración do ordenador - Políticas - Configuración de Windows - Configuración de seguranza - Políticas de clave pública - Autoridades de certificación raíz de confianza. A continuación, fai clic co botón dereito para importar o certificado.
A política configurada.
Os ordenadores cliente agora confiarán no certificado autoasinado.
Se se resolven os problemas de confianza, imos directamente ao problema de sinatura.
Paso un. Asinando o ficheiro de forma exhaustiva
Hai un certificado, agora tes que descubrir a súa pegada dixital. Só tes que abrilo no complemento "Certificados" e copialo na pestana "Composición".
Necesitamos a pegada.
É mellor traelo inmediatamente á forma adecuada: só letras maiúsculas e sen espazos, se hai. É conveniente facelo na consola de PowerShell co comando:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Despois de recibir unha impresión no formato desexado, pode asinar con seguridade o ficheiro rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Onde .contoso.rdp é o camiño absoluto ou relativo ao noso ficheiro.
Despois de asinar o ficheiro, xa non será posible cambiar algúns dos parámetros a través da interface gráfica, como o nome do servidor (de verdade, se non, para que serve asinar?) E se cambias a configuración cun editor de texto, entón a sinatura "voa".
Agora, ao facer dobre clic na etiqueta, a mensaxe será diferente:
Unha nova mensaxe. A cor é menos perigosa, xa avanza.
Libémonos del tamén.
Segundo paso. E de novo preguntas de confianza
Para desfacernos desta mensaxe, necesitamos de novo unha política de grupo. Nesta ocasión o camiño está no apartado Configuración do ordenador - Políticas - Modelos administrativos - Compoñentes de Windows - Servizos de escritorio remoto - Cliente de conexión de escritorio remoto - Especifique as impresións dixitais SHA1 dos certificados que representan a editores RDP de confianza.
Necesitamos unha política.
Na política abonda con engadir a pegada que xa nos coñecemos do paso anterior.
Paga a pena notar que esta política anula a política "Permitir ficheiros RDP de editores válidos e configuración RDP predeterminada personalizada".
A política configurada.
Voila, agora non hai preguntas estrañas, só unha solicitude de inicio de sesión e contrasinal. Hm…
Paso tres. Inicio de sesión transparente no servidor
De feito, se xa iniciamos sesión no ordenador do dominio, entón por que necesitamos volver introducir o mesmo inicio de sesión e contrasinal? Imos pasar as credenciais ao servidor "de forma transparente". No caso do RDP simple (sen utilizar o RDS Gateway), iremos ao rescate... Así é, política de grupo.
Imos ao apartado: Configuración do ordenador - Políticas - Modelos administrativos - Sistema - Pasando credenciais - Permitir a transferencia de credenciais predeterminadas.
Aquí pode engadir os servidores necesarios á lista ou usar un comodín. Parecerá TERMSRV/trm.contoso.com ou TERMOSRV/*.contoso.com.
A política configurada.
Agora, se miras a nosa etiqueta, verá algo así:
Non cambie o nome de usuario.
Se se usa RDS Gateway, tamén terá que permitir a transferencia de datos nel. Para iso, no xestor de IIS, cómpre desactivar a autenticación anónima nos "Métodos de autenticación" e activar a autenticación de Windows.
IIS configurado.
Non esquezas reiniciar os servizos web co comando:
iisreset /noforce
Agora todo está ben, sen preguntas nin peticións.
Só os usuarios rexistrados poden participar na enquisa.
Dígame, asinas etiquetas RDP para os teus usuarios?
-
43%Non, están adestrados para premer "Aceptar" nas mensaxes sen ler, algúns mesmo poñen as caixas de verificación "Non volver preguntar".28
-
29.2%Coloco coidadosamente a etiqueta coas mans e realizo o primeiro acceso ao servidor xunto con cada usuario.19
-
6.1%Por suposto, gústame todo en orde.4
-
21.5%Non uso servidores de terminais.14
Votaron 65 usuarios. 14 usuarios abstivéronse.
Fonte: www.habr.com