少し前まで、私たちは Windows ターミナル サーバーにソリューションを実装しました。 いつものように、彼らは従業員のデスクトップに接続するためのショートカットを投げ、「仕事をしなさい」と言った。 しかし、ユーザーはサイバーセキュリティに怯えていることが判明しました。 そして、サーバーに接続すると、次のようなメッセージが表示されます。 彼らは怖くなって私たちに向き直りました - 大丈夫ですか、[OK] をクリックしてもいいですか? それから、質問やパニックが起こらないように、すべてを美しく行うことにしました。

ユーザーが依然として同じような不安を抱えてあなたのところに来て、「二度と質問しない」にチェックを入れるのにうんざりしている場合は、猫の下にようこそ。

ゼロステップ。 トレーニングと信頼の問題

したがって、ユーザーは .rdp 拡張子が付いて保存されたファイルをクリックし、次のリクエストを受け取ります。

悪意のある接続.

このウィンドウを削除するには、と呼ばれる特別なユーティリティを使用します。 RDPSign.exe。 完全なドキュメントは通常通り、次の場所から入手できます。 公式サイト、使用例を分析します。

まず、ファイルに署名するための証明書を取得する必要があります。 彼は次のような人になることができます。

• 公共。
• 内部の認証局によって発行されます。
• 完全に自己署名です。

最も重要なことは、証明書に署名機能があることです (はい、選択できます)。
EDS 会計士)、クライアント PC は彼を信頼していました。 ここでは自己署名証明書を使用します。

自己署名証明書の信頼は、グループ ポリシーを使用して組織化できることを思い出してください。 もう少し詳しく - スポイラーの下で。

GPO の魔法で証明書を信頼できるものにする方法

まず、秘密キーのない既存の証明書を .cer 形式で取得し (これは、証明書スナップインから証明書をエクスポートすることで実行できます)、それをユーザーが読み取りのためにアクセスできるネットワーク フォルダーに配置する必要があります。 その後、グループ ポリシーを構成できます。

証明書のインポートは、[コンピューターの構成] - [ポリシー] - [Windows 構成] - [セキュリティ設定] - [公開キー ポリシー] - [信頼されたルート証明機関] セクションで構成します。 次に、右クリックして証明書をインポートします。

設定されたポリシー。

これで、クライアント PC は自己署名証明書を信頼するようになります。

信頼の問題が解決したら、署名の問題に直接進みます。

第一歩。 ファイルに徹底的に署名する

証明書があるので、そのフィンガープリントを確認する必要があります。 「証明書」スナップインで開き、「構成」タブにコピーするだけです。

刻印が必要なのです。

すぐに適切な形式（大文字のみで、スペースがある場合は含めない）に戻すことをお勧めします。 PowerShell コンソールで次のコマンドを使用してこれを行うと便利です。

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

希望の形式で印刷物を受け取ったら、rdp ファイルに安全に署名できます。

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

ここで、.contoso.rdp はファイルへの絶対パスまたは相対パスです。

ファイルに署名すると、サーバー名などの一部のパラメーターをグラフィカル インターフェイスから変更できなくなります (本当に、そうしないと署名する意味がありません)。また、テキスト エディターで設定を変更すると、その後、署名が「飛びます」。

ここで、ラベルをダブルクリックすると、メッセージが変わります。

新しいメッセージ。 色は危険性が低くなり、すでに進歩しています。

彼も追い払いましょう。

ステップXNUMX。 そして再び信頼の問題

このメッセージを取り除くには、やはりグループ ポリシーが必要です。 今回の道は、コンピューターの構成 - ポリシー - 管理用テンプレート - Windows コンポーネント - リモート デスクトップ サービス - リモート デスクトップ接続クライアント - 信頼できる RDP 発行者を表す証明書の SHA1 フィンガープリントを指定するセクションにあります。

政策が必要だ。

ポリシーには、前のステップですでにおなじみのインプリントを追加するだけで十分です。

このポリシーは、「有効な発行元からの RDP ファイルとカスタムのデフォルト RDP 設定を許可する」ポリシーをオーバーライドすることに注意してください。

設定されたポリシー。

ほら、これで奇妙な質問はなくなりました。ログイン パスワードの要求だけが必要になりました。 うーん…

ステップ XNUMX。 サーバーへの透過的なログイン

実際、すでにドメイン コンピュータにログインしているのに、なぜ同じログイン名とパスワードを再入力する必要があるのでしょうか。 資格情報を「透過的に」サーバーに渡しましょう。 単純な RDP (RDS ゲートウェイを使用しない) の場合は、助けになります...そうです、グループ ポリシーです。

[コンピュータの構成] - [ポリシー] - [管理用テンプレート] - [システム] - [資格情報の受け渡し] - [デフォルトの資格情報の転送を許可する] セクションに進みます。

ここで、必要なサーバーをリストに追加するか、ワイルドカードを使用できます。 次のようになります TERMSRV/trm.contoso.com または TERMSRV/*.contoso.com。

設定されたポリシー。

ここでラベルを見ると、次のようになります。

ユーザー名は変更しないでください。

RDS ゲートウェイを使用する場合は、そのゲートウェイでのデータ転送も許可する必要があります。 これを行うには、IIS マネージャーの「認証方法」で匿名認証を無効にし、Windows 認証を有効にする必要があります。

IIS を構成しました。

次のコマンドを使用して Web サービスを再起動することを忘れないでください。

iisreset /noforce

これですべてが順調になり、質問やリクエストはありません。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

教えてください、ユーザーのために RDP ラベルに署名していますか?

• 視聴者の３８%がいいえ、彼らはメッセージを読まずに「OK」を押すように訓練されており、中には自分で「今後質問しない」チェックボックスを入れる人さえいます。

• 視聴者の３８%が慎重にラベルを手で貼り、各ユーザーと一緒にサーバーに最初のログインを行います。19

• 視聴者の３８%がもちろん、私はすべてが順番に並んでいるのが好きです。4

• 視聴者の３８%がターミナルサーバーは使用しません。14

65 人のユーザーが投票しました。 14名のユーザーが棄権した。

出所： habr.com