לא מזמן יישמנו פתרון בשרת טרמינל Windowsכרגיל, שמנו קיצורי דרך על שולחנות העבודה של העובדים ואמרנו להם להתחיל לעבוד. אבל המשתמשים נבהלו מאבטחת הסייבר. כשהם התחברו לשרת, הם ראו הודעות כמו "האם אתם סומכים על השרת הזה? האם אתם בטוחים?" והם נבהלו ושאלו אותנו אם הכל בסדר, ואם הם יכולים ללחוץ על אישור. אז החלטנו לגרום לזה להיראות יפה יותר, כדי למנוע שאלות או פאניקה.

אם המשתמשים שלך עדיין מגיעים אליך עם פחדים דומים, ונמאס לך לסמן את התיבה "אל תשאל שוב", ברוך הבא לחתול.

שלב אפס. בעיות הכנה ואמון

אז, המשתמש שלנו לוחץ על הקובץ השמור עם סיומת rdp ומקבל את הבקשה הבאה:

חיבור "זדוני"..

כדי להיפטר מהחלון הזה, השתמש בכלי עזר מיוחד שנקרא RDPSign.exe. תיעוד מלא זמין, כרגיל, בכתובת האתר הרשמי, ונסתכל על דוגמה לשימוש.

ראשית, עלינו לקחת אישור כדי לחתום על הקובץ. הוא יכול להיות:

• פּוּמְבֵּי.
• מונפק על ידי שירות רשות התעודות הפנימי.
• חתום בעצמו לחלוטין.

הדבר החשוב ביותר הוא שלתעודה יש ​​את היכולת להיחתם (כן, אתה יכול לבחור
לרואי חשבון יש חתימות דיגיטליות), ומחשבי לקוחות סמכו עליו. כאן אשתמש בתעודה בחתימה עצמית.

הרשו לי להזכיר לכם שניתן לארגן אמון בתעודה בחתימה עצמית באמצעות מדיניות קבוצתית. עוד קצת פרטים מתחת לספוילר.

כיצד להפוך אישור לאמין באמצעות הקסם של GPO

ראשית, עליך לקחת את האישור הקיים ללא המפתח הפרטי בפורמט .cer (ניתן לעשות זאת על ידי ייצוא האישור מה-Snap-in Certificates) ולשים אותו בתיקיית רשת שמשתמשים יכולים לקרוא. לאחר מכן, תוכל להגדיר מדיניות קבוצתית.

ייבוא ​​אישורים מוגדר במקטע: תצורת מחשב - מדיניות - תצורה Windows — הגדרות אבטחה — מדיניות מפתח ציבורי — רשויות אישור בסיס מהימנות. לאחר מכן, לחץ לחיצה ימנית וייבא את האישור.

מדיניות מוגדרת.

מחשבי לקוח יתנו מעתה אמון באישור החתום בעצמו.

אם בעיות האמון נפתרות, נעבור ישירות לבעיית החתימה.

צעד ראשון. אנחנו חותמים על התיק בצורה גורפת

יש תעודה, עכשיו אתה צריך לגלות את טביעת האצבע שלה. פשוט פתח אותו ב-Snap-in "Certificates" והעתק אותו ללשונית "Composition".

טביעת האצבע שאנחנו צריכים.

עדיף להכניס אותו מיד לצורה המתאימה - רק אותיות גדולות וללא רווחים, אם יש. ניתן לעשות זאת בנוחות במסוף PowerShell עם הפקודה:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

לאחר קבלת טביעת האצבע בפורמט הנדרש, אתה יכול לחתום בבטחה על קובץ rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

כאשר .contoso.rdp הוא הנתיב המוחלט או היחסי לקובץ שלנו.

לאחר החתימה על הקובץ, כבר לא יהיה ניתן לשנות חלק מהפרמטרים דרך הממשק הגרפי, כמו שם השרת (באמת, אחרת מה הטעם בחתימה?) ואם תשנה את ההגדרות עם עורך טקסט, החתימה "עפה".

כעת כאשר תלחץ פעמיים על קיצור הדרך ההודעה תהיה שונה:

הודעה חדשה. הצבע פחות מסוכן, כבר מתקדמים.

בואו ניפטר גם ממנו.

שלב שני. ושוב שאלות של אמון

כדי להיפטר מהודעה זו, נצטרך שוב מדיניות קבוצתית. הפעם, הנתיב נמצא בתצורת מחשב - מדיניות - תבניות ניהול - רכיבים. Windows — שירותי שולחן עבודה מרוחק — לקוח חיבור לשולחן עבודה מרוחק — ציין טביעות אצבע SHA1 של אישורים המייצגים מנפיקי RDP מהימנים.

המדיניות שאנחנו צריכים.

בפוליטיקה מספיק להוסיף את טביעת האצבע המוכרת לנו כבר מהשלב הקודם.

ראוי לציין שמדיניות זו עוקפת את מדיניות אפשר RDP מבעלי אתרים חוקיים ואת מדיניות ברירת המחדל של הגדרות RDP מותאמות אישית.

מדיניות מוגדרת.

וואלה, עכשיו אין שאלות מוזרות - רק בקשה לכניסה וסיסמה. הממ…

שלב שלוש. כניסה שקופה לשרת

ואכן, אם כבר התחברנו בכניסה למחשב דומיין, אז למה אנחנו צריכים להזין מחדש את אותה כניסה וסיסמה? בואו נעביר את האישורים לשרת "בשקיפות". במקרה של RDP פשוט (ללא שימוש ב-RDS Gateway),... נכון, מדיניות קבוצתית תבוא לעזרתנו.

עבור לסעיף: תצורת מחשב - מדיניות - תבניות ניהול - מערכת - העברת אישורים - אפשר העברה של אישורי ברירת מחדל.

כאן אתה יכול להוסיף את השרתים הנדרשים לרשימה או להשתמש בתו כללי. זה ייראה כמו TERMSRV/trm.contoso.com או TERMSRV/*.contoso.com.

מדיניות מוגדרת.

עכשיו, אם תסתכל על התווית שלנו, זה ייראה בערך כך:

לא ניתן לשנות את שם המשתמש.

אם אתם משתמשים ב-RDS Gateway, תצטרכו גם להפעיל העברת נתונים. לשם כך, ב-IIS Manager, תחת "שיטות אימות", השבתו אימות אנונימי והפעילו אימות. Windows.

IIS מוגדר.

אל תשכח להפעיל מחדש את שירותי האינטרנט כשתסיים עם הפקודה:

iisreset /noforce

עכשיו הכל בסדר, אין שאלות או שאילתות.

רק משתמשים רשומים יכולים להשתתף בסקר. להתחברבבקשה.

תגיד לי, האם אתה חותם על תוויות RDP עבור המשתמשים שלך?

• 43%לא, הם רגילים ללחוץ על "אישור" בהודעות מבלי לקרוא אותן, חלקם אפילו מסמנים את התיבות בעצמם כדי "אל תשאל שוב".28

• 29.2%אני מניח בזהירות את התווית בידיים ומבצע את הכניסה הראשונה לשרת יחד עם כל משתמש.19

• 6.1%כמובן, אני אוהב סדר בכל דבר.4

• 21.5%אני לא משתמש בשרתי מסוף.14

65 משתמשים הצביעו. 14 משתמשים נמנעו.

מקור: www.habr.com