Nedavno smo implementirali rješenje na terminalnom poslužitelju WindowsKao i obično, postavili smo prečace na radne površine zaposlenika i rekli im da se bacaju na posao. No, korisnike je zastrašila kibernetička sigurnost. Prilikom spajanja na poslužitelj vidjeli su poruke poput: "Vjerujete li ovom poslužitelju? Jeste li sigurni?" i uplašili su se te nas pitali je li sve u redu i mogu li kliknuti U redu. Stoga smo odlučili uljepšati izgled kako bismo izbjegli bilo kakva pitanja ili paniku.

Ako vam se korisnici i dalje obraćaju sa sličnim strahovima, a vi ste umorni od označavanja “Ne pitaj više” - dobrodošli pod kat.

Nulti korak. Pitanja obuke i povjerenja

Dakle, naš korisnik klikne na spremljenu datoteku s nastavkom .rdp i dobije sljedeći zahtjev:

Zlonamjerna veza.

Da biste se riješili ovog prozora, upotrijebite poseban uslužni program pod nazivom RDPSign.exe. Kompletna dokumentacija dostupna je, kao i obično, na službene web stranice, a mi ćemo analizirati primjer korištenja.

Prvo moramo uzeti certifikat za potpisivanje datoteke. On može biti:

• Javnost.
• Izdaje interno tijelo za izdavanje certifikata.
• Potpuno samopotpisano.

Najvažnije je da certifikat ima mogućnost potpisa (da, možete odabrati
računovođe EDS-a), a računala klijenata su mu vjerovala. Ovdje ću koristiti samopotpisani certifikat.

Dopustite mi da vas podsjetim da se povjerenje u samopotpisani certifikat može organizirati pomoću pravila grupe. Još malo detalja - ispod spojlera.

Kako izraditi certifikat s povjerenjem u magiju GPO-a

Najprije je potrebno uzeti postojeći certifikat bez privatnog ključa u .cer formatu (to se može izvesti izvozom certifikata iz Certificates snap-ina) i staviti ga u mrežnu mapu koja je korisnicima dostupna za čitanje. Nakon toga možete konfigurirati pravila grupe.

Uvoz certifikata konfigurira se u odjeljku: Konfiguracija računala - Pravila - Konfiguracija Windows — Sigurnosne postavke — Pravila javnog ključa — Pouzdani izvori za certificiranje korijena. Zatim kliknite desnom tipkom miša i uvezite certifikat.

Konfigurirano pravilo.

Klijentska računala sada će vjerovati samopotpisanom certifikatu.

Ako su problemi s povjerenjem riješeni, idemo izravno na problem s potpisom.

Prvi korak. Brzo potpisivanje datoteke

Postoji certifikat, sada morate saznati njegov otisak prsta. Samo ga otvorite u dodatku "Certifikati" i kopirajte na karticu "Sastav".

Trebamo otisak.

Bolje je odmah ga dovesti u pravilan oblik - samo velika slova i bez razmaka, ako ih ima. Zgodno je to učiniti u PowerShell konzoli naredbom:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Nakon što ste primili ispis u željenom formatu, možete sigurno potpisati rdp datoteku:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Gdje je .contoso.rdp apsolutni ili relativni put do naše datoteke.

Nakon što je datoteka potpisana, više neće biti moguće mijenjati neke od parametara kroz grafičko sučelje, kao što je naziv poslužitelja (stvarno, inače koja je svrha potpisivanja?) A ako promijenite postavke pomoću uređivača teksta, onda "leti" potpis.

Sada, kada dvaput kliknete na oznaku, poruka će biti drugačija:

Nova poruka. Boja je manje opasna, već napreduje.

Riješimo se i njega.

Drugi korak. I opet pitanja povjerenja

Da bismo se riješili ove poruke, ponovno će nam trebati Grupne politike. Ovaj put put se nalazi u Konfiguracija računala - Politike - Administrativni predlošci - Komponente. Windows — Usluge udaljene radne površine — Klijent za povezivanje s udaljenom radnom površinom — Navedite SHA1 otiske certifikata koji predstavljaju pouzdane izdavatelje RDP-a.

Treba nam politika.

U policu je dovoljno dodati impresum koji nam je već poznat iz prethodnog koraka.

Vrijedno je napomenuti da ovo pravilo nadjačava pravilo "Dopusti RDP datoteke valjanih izdavača i prilagođene zadane RDP postavke".

Konfigurirano pravilo.

Voila, sada bez čudnih pitanja - samo zahtjev za prijavu i lozinku. Hm…

Treći korak. Transparentna prijava na server

Doista, ako smo se već prijavili na računalo domene, zašto onda moramo ponovno unijeti istu prijavu i lozinku? Proslijedimo vjerodajnice poslužitelju "transparentno". U slučaju jednostavnog RDP-a (bez korištenja RDS Gatewaya), doći ćemo u pomoć ... Tako je, grupna politika.

Idemo na odjeljak: Konfiguracija računala - Pravila - Administrativni predlošci - Sustav - Prijenos vjerodajnica - Dopusti prijenos zadanih vjerodajnica.

Ovdje možete dodati potrebne poslužitelje na popis ili koristiti zamjenski znak. Izgledat će kao TERMSRV/trm.contoso.com ili UVJETI/*.contoso.com.

Konfigurirano pravilo.

Sada, ako pogledamo našu etiketu, izgledat će otprilike ovako:

Nemojte mijenjati korisničko ime.

Ako koristite RDS Gateway, morat ćete omogućiti i prijenos podataka. Da biste to učinili, u IIS Manageru, pod "Metode provjere autentičnosti", onemogućite anonimnu provjeru autentičnosti i omogućite provjeru autentičnosti. Windows.

konfiguriran IIS.

Ne zaboravite ponovno pokrenuti web usluge naredbom:

iisreset /noforce

Sada je sve u redu, nema pitanja i zahtjeva.

U anketi mogu sudjelovati samo registrirani korisnici. Prijaviti se, molim.

Recite mi, potpisujete li RDP oznake za svoje korisnike?

• 43%Ne, oni su istrenirani pritisnuti "OK" u porukama bez čitanja, neki čak sami stavljaju potvrdne okvire "Ne pitaj više".28

• 29.2%Pažljivo stavljam naljepnicu rukama i zajedno sa svakim korisnikom vršim prvu prijavu na server.19

• 6.1%Naravno, volim sve po redu.4

• 21.5%Ne koristim terminalne poslužitelje.14

Glasovalo je 65 korisnika. Suzdržano je bilo 14 korisnika.

Izvor: www.habr.com