Non hai moito tempo, implementamos unha solución nun servidor de terminal Windows. Como de costume, lanzaron atallos para conectarse aos escritorios dos empregados e dixeron: traballo. Pero os usuarios resultaron intimidados pola ciberseguridade. E ao conectarse ao servidor, ver mensaxes como: "Confías neste servidor? Exactamente, exactamente? ", Asustáronse e volvéronse cara a nós, pero está todo ben, podo facer clic en Aceptar? Entón decidiuse facer todo moi ben, para que non houbese preguntas nin pánico.

Se os teus usuarios aínda chegan a ti con medos similares e estás canso de marcar "Non volver preguntar" - benvido en gato.

Paso cero. Cuestións de formación e confianza

Entón, o noso usuario fai clic no ficheiro gardado coa extensión .rdp e recibe a seguinte solicitude:

Conexión maliciosa.

Para desfacerse desta xanela, use unha utilidade especial chamada RDPSign.exe. A documentación completa está dispoñible, como é habitual, en sitio web oficial, e analizaremos un exemplo de uso.

Primeiro necesitamos levar un certificado para asinar o ficheiro. Pode ser:

• Público.
• Emitido por unha autoridade de certificación interna.
• Completamente autofirmado.

O máis importante é que o certificado teña a capacidade de asinar (si, podes seleccionar
contadores de EDS), e os ordenadores clientes confiaban nel. Aquí usarei un certificado autoasinado.

Permíteme recordarche que a confianza nun certificado autoasinado pódese organizar mediante políticas de grupo. Un pouco máis de detalles - baixo o spoiler.

Como facer un certificado de confianza coa maxia de GPO

En primeiro lugar, cómpre coller un certificado existente sen clave privada en formato .cer (isto pódese facer exportando o certificado desde o complemento Certificados) e poñelo nun cartafol de rede ao que os usuarios poidan ler. Despois diso, pode configurar a política de grupo.

A importación dun certificado configúrase na sección: Configuración do ordenador - Políticas - Configuración de Windows - Configuración de seguranza - Políticas de clave pública - Autoridades de certificación raíz de confianza. A continuación, fai clic co botón dereito para importar o certificado.

A política configurada.

Os ordenadores cliente agora confiarán no certificado autoasinado.

Se se resolven os problemas de confianza, imos directamente ao problema de sinatura.

Paso un. Asinando o ficheiro de forma exhaustiva

Hai un certificado, agora tes que descubrir a súa pegada dixital. Só tes que abrilo no complemento "Certificados" e copialo na pestana "Composición".

Necesitamos a pegada.

É mellor traelo inmediatamente á forma adecuada: só letras maiúsculas e sen espazos, se hai. É conveniente facelo na consola de PowerShell co comando:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Despois de recibir unha impresión no formato desexado, pode asinar con seguridade o ficheiro rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Onde .contoso.rdp é o camiño absoluto ou relativo ao noso ficheiro.

Despois de asinar o ficheiro, xa non será posible cambiar algúns dos parámetros a través da interface gráfica, como o nome do servidor (de verdade, se non, para que serve asinar?) E se cambias a configuración cun editor de texto, entón a sinatura "voa".

Agora, ao facer dobre clic na etiqueta, a mensaxe será diferente:

Unha nova mensaxe. A cor é menos perigosa, xa avanza.

Libémonos del tamén.

Segundo paso. E de novo preguntas de confianza

Para desfacernos desta mensaxe, necesitamos de novo unha política de grupo. Nesta ocasión o camiño está no apartado Configuración do ordenador - Políticas - Modelos administrativos - Compoñentes de Windows - Servizos de escritorio remoto - Cliente de conexión de escritorio remoto - Especifique as impresións dixitais SHA1 dos certificados que representan a editores RDP de confianza.

Necesitamos unha política.

Na política abonda con engadir a pegada que xa nos coñecemos do paso anterior.

Paga a pena notar que esta política anula a política "Permitir ficheiros RDP de editores válidos e configuración RDP predeterminada personalizada".

A política configurada.

Voila, agora non hai preguntas estrañas, só unha solicitude de inicio de sesión e contrasinal. Hm…

Paso tres. Inicio de sesión transparente no servidor

De feito, se xa iniciamos sesión no ordenador do dominio, entón por que necesitamos volver introducir o mesmo inicio de sesión e contrasinal? Imos pasar as credenciais ao servidor "de forma transparente". No caso do RDP simple (sen utilizar o RDS Gateway), iremos ao rescate... Así é, política de grupo.

Imos ao apartado: Configuración do ordenador - Políticas - Modelos administrativos - Sistema - Pasando credenciais - Permitir a transferencia de credenciais predeterminadas.

Aquí pode engadir os servidores necesarios á lista ou usar un comodín. Parecerá TERMSRV/trm.contoso.com ou TERMOSRV/*.contoso.com.

A política configurada.

Agora, se miras a nosa etiqueta, verá algo así:

Non cambie o nome de usuario.

Se se usa RDS Gateway, tamén terá que permitir a transferencia de datos nel. Para iso, no xestor de IIS, cómpre desactivar a autenticación anónima nos "Métodos de autenticación" e activar a autenticación de Windows.

IIS configurado.

Non esquezas reiniciar os servizos web co comando:

iisreset /noforce

Agora todo está ben, sen preguntas nin peticións.

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Dígame, asinas etiquetas RDP para os teus usuarios?

• 43%Non, están adestrados para premer "Aceptar" nas mensaxes sen ler, algúns mesmo poñen as caixas de verificación "Non volver preguntar".28

• 29.2%Coloco coidadosamente a etiqueta coas mans e realizo o primeiro acceso ao servidor xunto con cada usuario.19

• 6.1%Por suposto, gústame todo en orde.4

• 21.5%Non uso servidores de terminais.14

Votaron 65 usuarios. 14 usuarios abstivéronse.

Fonte: www.habr.com