Sa pa gen lontan nou te aplike yon solisyon sou yon sèvè tèminal Windows. Kòm dabitid, yo jete rakoursi koneksyon sou biwo anplwaye yo epi yo te di yo travay. Men, itilizatè yo te vin entimide an tèm de Cyber ​​​​Security. Epi lè w konekte ak sèvè a, w ap wè mesaj tankou: "Èske w fè sèvè sa a konfyans? Egzakteman?”, yo te pè epi yo tounen vin jwenn nou - èske tout bagay anfòm, èske nou ka klike sou OK? Lè sa a, li te deside fè tout bagay trè byen, pou pa ta gen okenn kesyon oswa panik.

Si itilizatè ou yo toujou vin jwenn ou ak laperèz menm jan an, epi w ap fatige nan tcheke "Pa mande ankò" bwat la, Byenveni nan chat la.

Etap zewo. Pwoblèm preparasyon ak konfyans

Se konsa, itilizatè nou an klike sou dosye a sove ak ekstansyon an .rdp epi li resevwa demann sa a:

Koneksyon "malveyan"..

Pou debarase m de fenèt sa a, sèvi ak yon sèvis piblik espesyal ki rele RDPSign.exe. Tout dokiman ki disponib, kòm dabitid, nan ofisyèl sou sit wèb, epi nou pral gade nan yon egzanp itilizasyon.

Premyèman, nou bezwen pran yon sètifika pou siyen dosye a. Li kapab:

• Piblik.
• Pibliye pa sèvis entèn Otorite Sètifika.
• Konplètman oto-siyen.

Bagay ki pi enpòtan an se ke sètifika a gen kapasite pou yo siyen (wi, ou ka chwazi
kontab gen siyati dijital), ak PC kliyan yo te fè l konfyans. Isit la mwen pral sèvi ak yon sètifika oto-siyen.

Kite m raple w ke yo ka òganize konfyans nan yon sètifika ki siyen pwòp tèt ou lè l sèvi avèk règleman gwoup yo. Yon ti kras plis detay yo anba spoiler la.

Ki jan yo fè yon sètifika konfyans lè l sèvi avèk majik la nan GPO

Premyèman, ou bezwen pran sètifika a ki deja egziste san kle prive a nan fòma .cer (sa a ka fè pa ekspòte sètifika a soti nan Sètifika snap-in) epi mete li nan yon katab rezo ke itilizatè yo ka li. Apre sa, ou ka configured Group Policy.

Enpòte Sètifika se configuré nan seksyon an: Konfigirasyon Odinatè - Règleman - Konfigirasyon Windows - Anviwònman Sekirite - Règleman Kle Piblik - Otorite Sètifikasyon Rasin ki fè konfyans. Apre sa, klike sou dwa pou enpòte sètifika a.

Politik konfigirasyon.

Kliyan PC yo pral kounye a fè konfyans sètifika a pwòp tèt ou-siyen.

Si pwoblèm konfyans yo rezoud, nou ale dirèkteman nan pwoblèm siyati a.

Etap youn. Nou siyen dosye a nan yon fason rapid

Gen yon sètifika, kounye a ou bezwen chèche konnen anprent li. Jis louvri li nan snap-in "Sètifika" epi kopye li nan tab la "Konpozisyon".

Anprent nou bezwen an.

Li pi bon imedyatman pote li nan fòm apwopriye a - sèlman lèt majiskil epi pa gen espas, si genyen. Sa a ka fasilman fè nan konsole PowerShell la ak kòmandman an:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Lè w fin resevwa anprent nan fòma obligatwa a, ou ka siyen dosye rdp la san danje:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Ki kote .contoso.rdp se chemen absoli oswa relatif nan dosye nou an.

Yon fwa yo fin siyen fichye a, li p ap posib ankò pou chanje kèk nan paramèt yo atravè koòdone grafik la, tankou non sèvè a (vrèman, otreman ki sa ki nan pwen siyen an?) Men, si ou chanje anviwònman yo ak yon editè tèks, siyati a "vole ale".

Koulye a, lè ou double klike sou chemen kout la mesaj la pral diferan:

Yon nouvo mesaj. Koulè a ​​se mwens danjere, deja pwogrè.

Ann debarase m de li tou.

Etap de. Epi ankò kesyon konfyans

Pou debarase m de mesaj sa a nou pral bezwen Group Policy ankò. Fwa sa a, wout la se nan seksyon Konfigirasyon Odinatè - Règleman - Modèl Administratif - Konpozan Windows - Sèvis Desktop Remote - Kliyan Koneksyon Desktop Remote - Espesifye anprent SHA1 sètifika ki reprezante piblikatè RDP ou fè konfyans.

Politik nou bezwen an.

Nan politik, li ase yo ajoute anprent ki deja abitye nan etap anvan an.

Li enpòtan pou remake ke règleman sa a pase sou plas Pèmèt fichye RDP ki soti nan piblikatè ki valab ak règleman defo Custom RDP anviwònman.

Politik konfigirasyon.

Voila, kounye a pa gen kesyon etranj - jis yon demann pou yon login ak modpas. Hm…

Etap twa. Login transparan nan sèvè a

Vreman vre, si nou te deja konekte lè nou konekte nan yon òdinatè domèn, Lè sa a, poukisa nou bezwen re-antre menm login ak modpas la? Se pou nou transfere kalifikasyon yo nan sèvè a "transparanman". Nan ka RDP senp (san w pa itilize RDS Gateway), ... Se vre, politik gwoup ap vin ede nou.

Ale nan seksyon: Konfigirasyon Odinatè - Règleman - Modèl Administratif - Sistèm - Transfè kalifikasyon - Pèmèt transfè kalifikasyon yo.

Isit la ou ka ajoute serveurs ki nesesè yo nan lis la oswa itilize yon wildcard. Li pral sanble TERMSRV/trm.contoso.com oswa TERMSRV/*.contoso.com.

Politik konfigirasyon.

Koulye a, si ou gade etikèt nou an, li pral gade yon bagay tankou sa a:

Non itilizatè a pa ka chanje.

Si w itilize RDS Gateway, w ap bezwen tou pou pèmèt transfè done sou li. Pou fè sa, nan Manadjè IIS, nan "Metòd Otantifikasyon" ou bezwen enfim verifikasyon anonim epi pèmèt Windows Otantifikasyon.

Konfigirasyon IIS.

Pa bliye rekòmanse sèvis entènèt yo lè fini ak lòd la:

iisreset /noforce

Koulye a, tout bagay anfòm, pa gen kesyon oswa demann.

Se sèlman itilizatè ki anrejistre ki ka patisipe nan sondaj la. Enskri, tanpri.

Di m, èske ou siyen etikèt RDP pou itilizatè ou yo?

• 43%Non, yo abitye klike sou "OK" nan mesaj san yo pa li yo, gen kèk menm tcheke kaz yo tèt yo pou "Pa mande ankò."28

• 29.2%Mwen ak anpil atansyon mete etikèt la ak men mwen epi fè premye login nan sèvè a ansanm ak chak itilizatè.19

• 6.1%Natirèlman, mwen renmen lòd nan tout bagay.4

• 21.5%Mwen pa sèvi ak sèvè tèminal.14

65 itilizatè yo te vote. 14 itilizatè te absteni.

Sous: www.habr.com