Ne tako davno implementirali smo rješenje na Windows terminal poslužitelj. Kao i obično, bacili su prečace za spajanje na desktope zaposlenika, i rekli – posao. No pokazalo se da su korisnici zastrašeni Cybersigurnošću. A kada se spajate na poslužitelj, vidite poruke poput: “Vjerujete li ovom poslužitelju? Točno, točno? ”, Uplašili su se i obratili nam se - ali je li sve u redu, mogu kliknuti OK? Tada je odlučeno učiniti sve lijepo, kako ne bi bilo pitanja ili panike.
Ako vam se korisnici i dalje obraćaju sa sličnim strahovima, a vi ste umorni od označavanja “Ne pitaj više” - dobrodošli pod kat.
Nulti korak. Pitanja obuke i povjerenja
Dakle, naš korisnik klikne na spremljenu datoteku s nastavkom .rdp i dobije sljedeći zahtjev:
Zlonamjerna veza.
Da biste se riješili ovog prozora, upotrijebite poseban uslužni program pod nazivom RDPSign.exe. Kompletna dokumentacija dostupna je, kao i obično, na
Prvo moramo uzeti certifikat za potpisivanje datoteke. On može biti:
- Javnost.
- Izdaje interno tijelo za izdavanje certifikata.
- Potpuno samopotpisano.
Najvažnije je da certifikat ima mogućnost potpisa (da, možete odabrati
računovođe EDS-a), a računala klijenata su mu vjerovala. Ovdje ću koristiti samopotpisani certifikat.
Dopustite mi da vas podsjetim da se povjerenje u samopotpisani certifikat može organizirati pomoću pravila grupe. Još malo detalja - ispod spojlera.
Kako izraditi certifikat s povjerenjem u magiju GPO-a
Najprije je potrebno uzeti postojeći certifikat bez privatnog ključa u .cer formatu (to se može izvesti izvozom certifikata iz Certificates snap-ina) i staviti ga u mrežnu mapu koja je korisnicima dostupna za čitanje. Nakon toga možete konfigurirati pravila grupe.
Uvoz certifikata konfigurira se u odjeljku: Konfiguracija računala - Pravila - Konfiguracija sustava Windows - Sigurnosne postavke - Pravila javnih ključeva - Pouzdana glavna tijela za izdavanje certifikata. Zatim desnom tipkom miša uvezite certifikat.
Konfigurirano pravilo.
Klijentska računala sada će vjerovati samopotpisanom certifikatu.
Ako su problemi s povjerenjem riješeni, idemo izravno na problem s potpisom.
Prvi korak. Brzo potpisivanje datoteke
Postoji certifikat, sada morate saznati njegov otisak prsta. Samo ga otvorite u dodatku "Certifikati" i kopirajte na karticu "Sastav".
Trebamo otisak.
Bolje je odmah ga dovesti u pravilan oblik - samo velika slova i bez razmaka, ako ih ima. Zgodno je to učiniti u PowerShell konzoli naredbom:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Nakon što ste primili ispis u željenom formatu, možete sigurno potpisati rdp datoteku:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Gdje je .contoso.rdp apsolutni ili relativni put do naše datoteke.
Nakon što je datoteka potpisana, više neće biti moguće mijenjati neke od parametara kroz grafičko sučelje, kao što je naziv poslužitelja (stvarno, inače koja je svrha potpisivanja?) A ako promijenite postavke pomoću uređivača teksta, onda "leti" potpis.
Sada, kada dvaput kliknete na oznaku, poruka će biti drugačija:
Nova poruka. Boja je manje opasna, već napreduje.
Riješimo se i njega.
Drugi korak. I opet pitanja povjerenja
Da bismo se riješili ove poruke, opet nam je potrebna grupna politika. Ovaj put put leži u odjeljku Konfiguracija računala - Pravila - Administrativni predlošci - Komponente sustava Windows - Usluge udaljene radne površine - Klijent veze s udaljenom radnom površinom - Navedite SHA1 otiske prstiju certifikata koji predstavljaju pouzdane RDP izdavače.
Treba nam politika.
U policu je dovoljno dodati impresum koji nam je već poznat iz prethodnog koraka.
Vrijedno je napomenuti da ovo pravilo nadjačava pravilo "Dopusti RDP datoteke valjanih izdavača i prilagođene zadane RDP postavke".
Konfigurirano pravilo.
Voila, sada bez čudnih pitanja - samo zahtjev za prijavu i lozinku. Hm…
Treći korak. Transparentna prijava na server
Doista, ako smo se već prijavili na računalo domene, zašto onda moramo ponovno unijeti istu prijavu i lozinku? Proslijedimo vjerodajnice poslužitelju "transparentno". U slučaju jednostavnog RDP-a (bez korištenja RDS Gatewaya), doći ćemo u pomoć ... Tako je, grupna politika.
Idemo na odjeljak: Konfiguracija računala - Pravila - Administrativni predlošci - Sustav - Prijenos vjerodajnica - Dopusti prijenos zadanih vjerodajnica.
Ovdje možete dodati potrebne poslužitelje na popis ili koristiti zamjenski znak. Izgledat će kao TERMSRV/trm.contoso.com ili UVJETI/*.contoso.com.
Konfigurirano pravilo.
Sada, ako pogledamo našu etiketu, izgledat će otprilike ovako:
Nemojte mijenjati korisničko ime.
Ako se koristi RDS Gateway, također ćete morati dopustiti prijenos podataka na njemu. Da biste to učinili, u IIS upravitelju morate onemogućiti anonimnu autentifikaciju u "Authentication Methods" i omogućiti Windows autentifikaciju.
konfiguriran IIS.
Ne zaboravite ponovno pokrenuti web usluge naredbom:
iisreset /noforce
Sada je sve u redu, nema pitanja i zahtjeva.
U anketi mogu sudjelovati samo registrirani korisnici.
Recite mi, potpisujete li RDP oznake za svoje korisnike?
-
43%Ne, oni su istrenirani pritisnuti "OK" u porukama bez čitanja, neki čak sami stavljaju potvrdne okvire "Ne pitaj više".28
-
29.2%Pažljivo stavljam naljepnicu rukama i zajedno sa svakim korisnikom vršim prvu prijavu na server.19
-
6.1%Naravno, volim sve po redu.4
-
21.5%Ne koristim terminalne poslužitelje.14
Glasovalo je 65 korisnika. Suzdržano je bilo 14 korisnika.
Izvor: www.habr.com