לא מזמן הטמענו פתרון על שרת מסוף של Windows. כרגיל, הם השליכו קיצורי חיבור על שולחנותיהם של העובדים ואמרו להם לעבוד. אבל התברר שהמשתמשים היו מאוימים במונחים של אבטחת סייבר. וכאשר מתחברים לשרת, רואים הודעות כמו: "האם אתה סומך על השרת הזה? בדיוק?”, הם נבהלו ופנו אלינו – הכל בסדר, אפשר ללחוץ על OK? ואז הוחלט לעשות הכל יפה, כדי שלא יהיו שאלות או פאניקה.

אם המשתמשים שלך עדיין מגיעים אליך עם פחדים דומים, ונמאס לך לסמן את התיבה "אל תשאל שוב", ברוך הבא לחתול.

שלב אפס. בעיות הכנה ואמון

אז, המשתמש שלנו לוחץ על הקובץ השמור עם סיומת rdp ומקבל את הבקשה הבאה:

חיבור "זדוני"..

כדי להיפטר מהחלון הזה, השתמש בכלי עזר מיוחד שנקרא RDPSign.exe. תיעוד מלא זמין, כרגיל, בכתובת האתר הרשמי, ונסתכל על דוגמה לשימוש.

ראשית, עלינו לקחת אישור כדי לחתום על הקובץ. הוא יכול להיות:

• פּוּמְבֵּי.
• מונפק על ידי שירות רשות התעודות הפנימי.
• חתום בעצמו לחלוטין.

הדבר החשוב ביותר הוא שלתעודה יש ​​את היכולת להיחתם (כן, אתה יכול לבחור
לרואי חשבון יש חתימות דיגיטליות), ומחשבי לקוחות סמכו עליו. כאן אשתמש בתעודה בחתימה עצמית.

הרשו לי להזכיר לכם שניתן לארגן אמון בתעודה בחתימה עצמית באמצעות מדיניות קבוצתית. עוד קצת פרטים מתחת לספוילר.

כיצד להפוך אישור לאמין באמצעות הקסם של GPO

ראשית, עליך לקחת את האישור הקיים ללא המפתח הפרטי בפורמט .cer (ניתן לעשות זאת על ידי ייצוא האישור מה-Snap-in Certificates) ולשים אותו בתיקיית רשת שמשתמשים יכולים לקרוא. לאחר מכן, תוכל להגדיר מדיניות קבוצתית.

ייבוא ​​האישורים מוגדר בסעיף: תצורת מחשב - מדיניות - תצורת Windows - הגדרות אבטחה - מדיניות מפתח ציבורי - רשויות אישור שורש מהימנות. לאחר מכן, לחץ באמצעות לחצן העכבר הימני כדי לייבא את האישור.

מדיניות מוגדרת.

מחשבי לקוח יתנו מעתה אמון באישור החתום בעצמו.

אם בעיות האמון נפתרות, נעבור ישירות לבעיית החתימה.

צעד ראשון. אנחנו חותמים על התיק בצורה גורפת

יש תעודה, עכשיו אתה צריך לגלות את טביעת האצבע שלה. פשוט פתח אותו ב-Snap-in "Certificates" והעתק אותו ללשונית "Composition".

טביעת האצבע שאנחנו צריכים.

עדיף להכניס אותו מיד לצורה המתאימה - רק אותיות גדולות וללא רווחים, אם יש. ניתן לעשות זאת בנוחות במסוף PowerShell עם הפקודה:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

לאחר קבלת טביעת האצבע בפורמט הנדרש, אתה יכול לחתום בבטחה על קובץ rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

כאשר .contoso.rdp הוא הנתיב המוחלט או היחסי לקובץ שלנו.

לאחר החתימה על הקובץ, כבר לא יהיה ניתן לשנות חלק מהפרמטרים דרך הממשק הגרפי, כמו שם השרת (באמת, אחרת מה הטעם בחתימה?) ואם תשנה את ההגדרות עם עורך טקסט, החתימה "עפה".

כעת כאשר תלחץ פעמיים על קיצור הדרך ההודעה תהיה שונה:

הודעה חדשה. הצבע פחות מסוכן, כבר מתקדמים.

בואו ניפטר גם ממנו.

שלב שני. ושוב שאלות של אמון

כדי להיפטר מההודעה הזו נצטרך שוב מדיניות קבוצתית. הפעם הדרך נמצאת בסעיף תצורת מחשב - מדיניות - תבניות ניהול - רכיבי Windows - שירותי שולחן עבודה מרוחק - לקוח לחיבור שולחן עבודה מרוחק - ציין טביעות אצבע SHA1 של אישורים המייצגים מפרסמי RDP מהימנים.

המדיניות שאנחנו צריכים.

בפוליטיקה מספיק להוסיף את טביעת האצבע המוכרת לנו כבר מהשלב הקודם.

ראוי לציין שמדיניות זו עוקפת את מדיניות אפשר RDP מבעלי אתרים חוקיים ואת מדיניות ברירת המחדל של הגדרות RDP מותאמות אישית.

מדיניות מוגדרת.

וואלה, עכשיו אין שאלות מוזרות - רק בקשה לכניסה וסיסמה. הממ…

שלב שלוש. כניסה שקופה לשרת

ואכן, אם כבר התחברנו בכניסה למחשב דומיין, אז למה אנחנו צריכים להזין מחדש את אותה כניסה וסיסמה? בואו נעביר את האישורים לשרת "בשקיפות". במקרה של RDP פשוט (ללא שימוש ב-RDS Gateway),... נכון, מדיניות קבוצתית תבוא לעזרתנו.

עבור לסעיף: תצורת מחשב - מדיניות - תבניות ניהול - מערכת - העברת אישורים - אפשר העברה של אישורי ברירת מחדל.

כאן אתה יכול להוסיף את השרתים הנדרשים לרשימה או להשתמש בתו כללי. זה ייראה כמו TERMSRV/trm.contoso.com או TERMSRV/*.contoso.com.

מדיניות מוגדרת.

עכשיו, אם תסתכל על התווית שלנו, זה ייראה בערך כך:

לא ניתן לשנות את שם המשתמש.

אם אתה משתמש ב-RDS Gateway, תצטרך גם לאפשר העברת נתונים בו. כדי לעשות זאת, במנהל IIS, ב"שיטות אימות" עליך להשבית אימות אנונימי ולהפעיל את אימות Windows.

IIS מוגדר.

אל תשכח להפעיל מחדש את שירותי האינטרנט כשתסיים עם הפקודה:

iisreset /noforce

עכשיו הכל בסדר, אין שאלות או שאילתות.

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

תגיד לי, האם אתה חותם על תוויות RDP עבור המשתמשים שלך?

• 43%לא, הם רגילים ללחוץ על "אישור" בהודעות מבלי לקרוא אותן, חלקם אפילו מסמנים את התיבות בעצמם כדי "אל תשאל שוב".28

• 29.2%אני מניח בזהירות את התווית בידיים ומבצע את הכניסה הראשונה לשרת יחד עם כל משתמש.19

• 6.1%כמובן, אני אוהב סדר בכל דבר.4

• 21.5%אני לא משתמש בשרתי מסוף.14

65 משתמשים הצביעו. 14 משתמשים נמנעו.

מקור: www.habr.com