Ekki er langt síðan við innleiddum lausn á Windows flugstöðvaþjóni. Eins og venjulega hentu þeir flýtileiðum á skrifborð starfsmanna og sögðu þeim að vinna. En notendur reyndust vera hræddir hvað varðar netöryggi. Og þegar þú tengist þjóninum, sérðu skilaboð eins og: „Treystir þú þessum þjóni? Nákvæmlega?”, urðu þeir hræddir og sneru sér að okkur – er allt í lagi, getum við smellt á OK? Þá var ákveðið að gera allt fallega, svo að ekki kæmu upp spurningar eða læti.

Ef notendur þínir koma enn til þín með svipaðan ótta og þú ert þreyttur á að haka við „Ekki spyrja aftur“ reitinn, velkominn til köttsins.

Skref núll. Undirbúnings- og traustsmál

Þannig að notandi okkar smellir á vistuðu skrána með .rdp endingunni og fær eftirfarandi beiðni:

„Illgjarn“ tenging.

Til að losna við þennan glugga skaltu nota sérstakt tól sem heitir RDPSign.exe. Full skjöl eru fáanleg, eins og venjulega, kl opinber vefsíða, og við munum skoða dæmi um notkun.

Fyrst þurfum við að taka skírteini til að undirrita skrána. Hann getur verið:

• Opinber.
• Gefið út af innri þjónustu vottunaryfirvalda.
• Alveg sjálf undirritað.

Það mikilvægasta er að skírteinið hefur getu til að vera undirritað (já, þú getur valið
endurskoðendur hafa stafrænar undirskriftir) og tölvur viðskiptavina treystu honum. Hér mun ég nota sjálfstætt undirritað vottorð.

Leyfðu mér að minna þig á að hægt er að skipuleggja traust á sjálfundirrituðu vottorði með því að nota hópstefnur. Smá frekari upplýsingar eru undir spoilernum.

Hvernig á að gera vottorð treystandi með því að nota töfra GPO

Fyrst þarftu að taka núverandi skírteini án einkalykilsins á .cer sniði (þetta er hægt að gera með því að flytja vottorðið út úr skírteini snap-in) og setja það í netmöppu sem notendur geta lesið. Eftir þetta geturðu stillt hópstefnu.

Innflutningur vottorða er stilltur í hlutanum: Tölvustillingar - Reglur - Windows stillingar - Öryggisstillingar - Opinber lykilreglur - Traust rótarvottunaryfirvöld. Næst skaltu hægrismella til að flytja inn vottorðið.

Stillt stefna.

Viðskiptavinatölvur munu nú treysta sjálfundirrituðu vottorðinu.

Ef trúnaðarmálin eru leyst förum við beint í undirskriftarmálið.

Skref eitt. Við undirritum skrána á veglegan hátt

Það er vottorð, nú þarftu að finna út fingrafar þess. Opnaðu það bara í „Skírteini“ snap-in og afritaðu það á „Samsetning“ flipann.

Fingrafarið sem við þurfum.

Það er betra að setja það strax í rétta mynd - aðeins hástafi og engin bil, ef einhver er. Þetta er þægilega hægt að gera í PowerShell stjórnborðinu með skipuninni:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Eftir að hafa fengið fingrafarið á tilskildu sniði geturðu örugglega undirritað rdp skrána:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Þar sem .contoso.rdp er alger eða afstæð slóð að skránni okkar.

Þegar skráin hefur verið undirrituð verður ekki lengur hægt að breyta sumum færibreytum í gegnum grafíska viðmótið, eins og nafn netþjónsins (í alvöru, hvað er annars tilgangurinn með að skrifa undir?) Og ef þú breytir stillingunum með textaritli, undirskriftin „flýgur af“.

Nú þegar þú tvísmellir á flýtileiðina verða skilaboðin önnur:

Ný skilaboð. Liturinn er minna hættulegur, þegar framfarir.

Losum okkur við hann líka.

Skref tvö. Og aftur spurningar um traust

Til að losna við þessi skilaboð þurfum við aftur hópstefnu. Að þessu sinni liggur leiðin í kaflanum Tölvustillingar - Reglur - Stjórnunarsniðmát - Windows íhlutir - Fjarskjáborðsþjónusta - Fjarskjáborðstengingarviðskiptavinur - Tilgreindu SHA1 fingraför vottorða sem tákna trausta RDP útgefendur.

Stefnan sem við þurfum.

Í pólitík er nóg að bæta við fingrafarinu sem er okkur þegar kunnugt frá fyrra skrefi.

Þess má geta að þessi regla hnekkir reglunni Leyfa RDP skrár frá gildum útgefendum og sjálfgefna sérsniðnar RDP stillingar.

Stillt stefna.

Voila, nú eru engar skrítnar spurningar - bara beiðni um innskráningu og lykilorð. Hm…

Skref þrjú. Gegnsætt innskráning á netþjóninn

Reyndar, ef við höfum þegar skráð okkur inn þegar við skráum okkur inn á lénstölvu, hvers vegna þurfum við þá að slá inn sama notandanafn og lykilorð aftur? Við skulum flytja skilríkin á netþjóninn „gagnsæ“. Ef um er að ræða einfalda RDP (án þess að nota RDS Gateway), ... Það er rétt, hópstefna mun koma okkur til hjálpar.

Farðu í hlutann: Tölvustillingar - Reglur - Stjórnunarsniðmát - Kerfi - Flutningur skilríkja - Leyfa flutning á sjálfgefnum skilríkjum.

Hér getur þú bætt nauðsynlegum netþjónum við listann eða notað jokertákn. Það mun líta út TERMSRV/trm.contoso.com eða SKILMÁLAR/*.contoso.com.

Stillt stefna.

Nú, ef þú lítur á merkið okkar, mun það líta eitthvað svona út:

Ekki er hægt að breyta notendanafninu.

Ef þú notar RDS Gateway þarftu líka að virkja gagnaflutning á henni. Til að gera þetta, í IIS Manager, í „Authentication Methods“ þarftu að slökkva á nafnlausri staðfestingu og virkja Windows Authentication.

Stillt IIS.

Ekki gleyma að endurræsa vefþjónustuna þegar þú hefur lokið við skipunina:

iisreset /noforce

Nú er allt í lagi, engar spurningar eða fyrirspurnir.

Aðeins skráðir notendur geta tekið þátt í könnuninni. Skráðu þig inn, takk.

Segðu mér, skrifar þú undir RDP merki fyrir notendur þína?

• 43%Nei, þeir eru vanir að smella á „Í lagi“ í skilaboðum án þess að lesa þau, sumir haka jafnvel sjálfir við reitina „Ekki spyrja aftur.“28

• 29.2%Ég set miðann vandlega með höndunum og geri fyrstu innskráningu á netþjóninn ásamt hverjum notanda.19

• 6.1%Auðvitað elska ég reglu í öllu.4

• 21.5%Ég nota ekki terminal servers.14

65 notendur kusu. 14 notendur sátu hjá.

Heimild: www.habr.com