Nem sokkal ezelőtt implementáltunk egy megoldást egy Windows terminálkiszolgálón. Szokás szerint kapcsolódási parancsikonokat dobtak az alkalmazottak asztalára, és azt mondták nekik, hogy dolgozzanak. De kiderült, hogy a felhasználók megfélemlítették a kiberbiztonságot. És amikor csatlakozik a szerverhez, ilyen üzenetek jelennek meg: „Bízol ebben a szerverben? Pontosan?”, megijedtek és hozzánk fordultak - minden rendben, kattinthatunk az OK gombra? Aztán úgy döntöttek, hogy mindent szépen csinálnak, hogy ne legyen kérdés, pánik.
Ha felhasználói továbbra is hasonló félelmekkel fordulnak Önhöz, és belefáradt a „Ne kérdezzen újra” négyzet bejelölésébe, üdvözöljük a macskában.
Nulladik lépés. Felkészülési és bizalmi kérdések
Így felhasználónk az .rdp kiterjesztésű mentett fájlra kattint, és a következő kérést kapja:
"Rosszindulatú" kapcsolat.
Az ablak eltávolításához használjon egy speciális segédprogramot RDPSign.exe. A teljes dokumentáció a szokásos módon elérhető a címen
Először is tanúsítványt kell vennünk a fájl aláírásához. Ő lehet:
- Nyilvános.
- A belső Hitelesítés-szolgáltató szolgáltatás bocsátja ki.
- Teljesen önaláírva.
A legfontosabb dolog az, hogy a tanúsítvány aláírható legyen (igen, választhat
a könyvelők rendelkeznek digitális aláírással), és az ügyfélszámítógépek megbíztak benne. Itt egy önaláírt tanúsítványt fogok használni.
Hadd emlékeztessem Önt arra, hogy az önaláírt tanúsítványba vetett bizalom csoportházirendek segítségével megszervezhető. További részletek a spoiler alatt.
Tanúsítvány készítése megbízhatóvá a GPO varázslatával
Először is el kell venni a meglévő tanúsítványt a privát kulcs nélkül .cer formátumban (ezt a Tanúsítványok beépülő modulból exportálva teheti meg), és el kell helyeznie egy hálózati mappába, amelyet a felhasználók olvashatnak. Ezt követően konfigurálhatja a csoportházirendet.
A tanúsítvány importálása a következő szakaszban van konfigurálva: Számítógép konfigurációja - Házirendek - Windows konfiguráció - Biztonsági beállítások - Nyilvános kulcs házirendjei - Megbízható legfelső szintű hitelesítési hatóságok. Ezután kattintson a jobb gombbal a tanúsítvány importálásához.
Konfigurált házirend.
Az ügyfélszámítógépek mostantól megbíznak az önaláírt tanúsítványban.
Ha a bizalmi problémák megoldódnak, közvetlenül az aláírási problémára lépünk.
Első lépés. A fájlt átfogó módon aláírjuk
Van egy tanúsítvány, most meg kell találnia az ujjlenyomatát. Csak nyissa meg a „Tanúsítványok” beépülő modulban, és másolja az „Összetétel” fülre.
Az ujjlenyomat, amire szükségünk van.
Jobb, ha azonnal a megfelelő formába hozzuk – csak nagybetűkkel és szóközök nélkül, ha vannak ilyenek. Ezt kényelmesen megteheti a PowerShell-konzolban a következő paranccsal:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Miután megkapta az ujjlenyomatot a kívánt formátumban, biztonságosan aláírhatja az rdp fájlt:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Ahol a .contoso.rdp a fájlunk abszolút vagy relatív elérési útja.
A fájl aláírása után a grafikus felületen keresztül már nem lehet módosítani néhány paramétert, például a szerver nevét (tényleg, különben mi értelme van az aláírásnak?) És ha szövegszerkesztővel módosítjuk a beállításokat, az aláírás „elrepül”.
Most, amikor duplán kattint a parancsikonra, az üzenet más lesz:
Új üzenet. A szín kevésbé veszélyes, már haladás.
Szabaduljunk meg tőle is.
Második lépés. És ismét a bizalom kérdései
Ahhoz, hogy megszabaduljunk ettől az üzenettől, ismét szükségünk lesz a csoportházirendre. Ezúttal az út a Számítógép konfigurációja - Házirendek - Felügyeleti sablonok - Windows-összetevők - Távoli asztali szolgáltatások - Távoli asztali kapcsolat kliens - A megbízható RDP-megjelenítőket képviselő tanúsítványok SHA1-ujjlenyomatainak megadása szakaszban halad.
A politika, amire szükségünk van.
A politikában elég az előző lépésből számunkra már ismerős ujjlenyomatot hozzáadni.
Érdemes megjegyezni, hogy ez a házirend felülírja az RDP-fájlok engedélyezése érvényes megjelenítőktől és az alapértelmezett egyéni RDP-beállítások házirendet.
Konfigurált házirend.
Voila, most nincs furcsa kérdés - csak egy bejelentkezési név és jelszó kérése. Hm…
Harmadik lépés. Átlátható bejelentkezés a szerverre
Valóban, ha már bejelentkeztünk egy tartományi számítógépre való bejelentkezéskor, akkor miért kell újra megadnunk ugyanazt a bejelentkezési nevet és jelszót? Vigyük át a hitelesítő adatokat a szerverre „átláthatóan”. Egyszerű RDP esetén (RDS Gateway használata nélkül) ... Így van, a csoportházirend a segítségünkre lesz.
Nyissa meg a következő részt: Számítógép konfigurációja - Irányelvek - Felügyeleti sablonok - Rendszer - Hitelesítési adatok átvitele - Alapértelmezett hitelesítő adatok átvitelének engedélyezése.
Itt hozzáadhatja a szükséges szervereket a listához, vagy helyettesítő karaktert használhat. Úgy fog kinézni TERMSRV/trm.contoso.com vagy FELTÉTELEK/*.contoso.com.
Konfigurált házirend.
Ha megnézi a címkénket, az valahogy így fog kinézni:
A felhasználónév nem módosítható.
Ha RDS Gateway-t használ, akkor az adatátvitelt is engedélyeznie kell rajta. Ehhez az IIS Manager „Authentication Methods” részében le kell tiltani az anonim ellenőrzést és engedélyezni kell a Windows hitelesítést.
Konfigurált IIS.
Ne felejtse el újraindítani a webszolgáltatásokat, ha befejezte a parancsot:
iisreset /noforce
Most minden rendben van, nincs kérdés vagy kérdés.
A felmérésben csak regisztrált felhasználók vehetnek részt.
Mondja, aláír-e RDP-címkéket a felhasználóinak?
-
43%Nem, megszokták, hogy az üzenetekben az „OK” gombra kattintanak anélkül, hogy elolvasnák őket, sőt, néhányan maguk a „Ne kérdezzenek újra” jelölőnégyzetet is bejelölik.
-
29.2%Kezeimmel óvatosan felhelyezem a címkét, és minden felhasználóval együtt megtörténik az első bejelentkezés a szerverre.19
-
6.1%Természetesen mindenben szeretem a rendet.4
-
21.5%Nem használok terminálszervereket.14
65 felhasználó szavazott. 14 felhasználó tartózkodott.
Forrás: will.com