Non molto tempo fa abbiamo implementato una soluzione su un terminal server Windows. Come al solito, hanno lanciato scorciatoie per connettersi ai desktop dei dipendenti e hanno detto: lavoro. Ma gli utenti si sono rivelati intimiditi dalla sicurezza informatica. E quando ti connetti al server, vedi messaggi come: “Ti fidi di questo server? Esattamente, esattamente?", Si sono spaventati e si sono rivolti a noi - ma va tutto bene, posso cliccare su OK? Quindi si è deciso di fare tutto magnificamente, in modo che non ci fossero domande o panico.

Se i tuoi utenti vengono ancora da te con paure simili e sei stanco di spuntare "Non chiedere più" - benvenuto sotto cat.

Passo zero. Problemi di formazione e fiducia

Quindi, il nostro utente fa clic sul file salvato con estensione .rdp e riceve la seguente richiesta:

Connessione dannosa.

Per eliminare questa finestra, utilizzare un'utilità speciale chiamata RDPSign.exe. La documentazione completa è disponibile, come di consueto, all'indirizzo il sito ufficiale, e analizzeremo un esempio di utilizzo.

Per prima cosa dobbiamo prendere un certificato per firmare il file. Lui può essere:

• Pubblico.
• Emesso da un'autorità di certificazione interna.
• Completamente autofirmato.

La cosa più importante è che il certificato abbia la capacità di firmare (sì, puoi selezionare
commercialisti dell'EDS) e i PC clienti si fidavano di lui. Qui utilizzerò un certificato autofirmato.

Lascia che ti ricordi che la fiducia in un certificato autofirmato può essere organizzata utilizzando i criteri di gruppo. Qualche dettaglio in più - sotto lo spoiler.

Come creare un certificato attendibile con la magia dell'oggetto Criteri di gruppo

Innanzitutto, è necessario prendere un certificato esistente senza chiave privata in formato .cer (questo può essere fatto esportando il certificato dallo snap-in Certificati) e inserirlo in una cartella di rete accessibile agli utenti per la lettura. Successivamente, puoi configurare i Criteri di gruppo.

L'importazione di un certificato viene configurata nella sezione: Configurazione computer - Criteri - Configurazione di Windows - Impostazioni di sicurezza - Criteri chiave pubblica - Autorità di certificazione radice attendibili. Successivamente, fai clic con il pulsante destro del mouse per importare il certificato.

La politica configurata.

I PC client ora considereranno attendibile il certificato autofirmato.

Se i problemi di fiducia vengono risolti, passiamo direttamente alla questione della firma.

Primo passo. Firma radicalmente il file

C'è un certificato, ora devi scoprire la sua impronta digitale. Basta aprirlo nello snap-in "Certificati" e copiarlo nella scheda "Composizione".

Abbiamo bisogno dell'impronta.

È meglio riportarlo immediatamente nella forma corretta: solo lettere maiuscole e senza spazi, se presenti. È conveniente farlo nella console di PowerShell con il comando:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Dopo aver ricevuto una stampa nel formato desiderato, puoi firmare tranquillamente il file rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Dove .contoso.rdp è il percorso assoluto o relativo del nostro file.

Una volta firmato il file, non sarà più possibile modificare alcuni parametri tramite l'interfaccia grafica, come ad esempio il nome del server (davvero, altrimenti che senso avrebbe firmare?) e se si modificano le impostazioni con un editor di testo, poi la firma "vola".

Ora, quando fai doppio clic sull'etichetta, il messaggio sarà diverso:

Un nuovo messaggio. Il colore è meno pericoloso, già progredisce.

Liberiamoci anche di lui.

Passo due. E ancora questioni di fiducia

Per eliminare questo messaggio, abbiamo ancora bisogno di una politica di gruppo. Questa volta la strada si trova nella sezione Configurazione computer - Criteri - Modelli amministrativi - Componenti di Windows - Servizi Desktop remoto - Client di connessione desktop remoto - Specifica le impronte digitali SHA1 dei certificati che rappresentano editori RDP attendibili.

Abbiamo bisogno di una politica.

Nella polizza è sufficiente aggiungere l'impronta che ci è già familiare dal passaggio precedente.

Vale la pena notare che questo criterio sostituisce il criterio Consenti file RDP di editori validi e il criterio delle impostazioni RDP personalizzate predefinite.

La politica configurata.

Voilà, ora niente domande strane: solo una richiesta di password di accesso. Mhm...

Passo tre. Accesso trasparente al server

Infatti, se abbiamo già effettuato l'accesso al computer del dominio, perché dobbiamo reinserire lo stesso login e la stessa password? Passiamo le credenziali al server "in modo trasparente". Nel caso del semplice RDP (senza utilizzare RDS Gateway), verremo in soccorso... Esatto, policy di gruppo.

Andiamo alla sezione: Configurazione computer - Criteri - Modelli amministrativi - Sistema - Passaggio credenziali - Consenti il ​​trasferimento delle credenziali predefinite.

Qui puoi aggiungere i server necessari all'elenco o utilizzare un carattere jolly. Sembrerà TERMSRV/trm.contoso.com o TERMINISRV/*.contoso.com.

La politica configurata.

Ora, se guardi la nostra etichetta, sarà simile a questa:

Non modificare il nome utente.

Se viene utilizzato RDS Gateway, sarà necessario consentire anche il trasferimento dei dati su di esso. Per fare ciò, nel Gestore IIS, è necessario disabilitare l'autenticazione anonima in "Metodi di autenticazione" e abilitare l'autenticazione di Windows.

IIS configurato.

Non dimenticare di riavviare i servizi web con il comando:

iisreset /noforce

Adesso va tutto bene, nessuna domanda e richiesta.

Solo gli utenti registrati possono partecipare al sondaggio. AccediPer favore.

Dimmi, firmi le etichette RDP per i tuoi utenti?

• 43%No, sono addestrati a premere "OK" nei messaggi senza leggerli, alcuni addirittura mettono loro stessi la casella di controllo "Non chiedere più".28

• 29.2%Appoggio con cura l'etichetta con le mani ed effettuo il primo accesso al server insieme a ciascun utente.19

• 6.1%Naturalmente mi piace tutto in ordine.4

• 21.5%Non utilizzo terminal server.14

65 utenti hanno votato. 14 utenti si sono astenuti.

Fonte: habr.com