არც ისე დიდი ხნის წინ, ჩვენ განვახორციელეთ გამოსავალი Windows ტერმინალის სერვერზე. ჩვეულებისამებრ, მათ გადააგდეს მალსახმობები თანამშრომლების სამუშაო მაგიდასთან დასაკავშირებლად და თქვეს - იმუშავე. მაგრამ მომხმარებლები კიბერუსაფრთხოებით აშინებდნენ. და სერვერთან დაკავშირებისას ხედავთ შეტყობინებებს, როგორიცაა: „ენდობ ამ სერვერს? ზუსტად, ზუსტად? ”, შეშინდნენ და მოგვმართეს - მაგრამ ყველაფერი რიგზეა, შემიძლია დავაჭირო OK? მერე გადაწყდა, რომ ყველაფერი ლამაზად გაგვეკეთებინა, რომ კითხვები და პანიკა არ ყოფილიყო.

თუ თქვენი მომხმარებლები მაინც მოდიან თქვენთან მსგავსი შიშებით და დაიღალეთ „აღარ მკითხო“-ის მონიშვნით - კეთილი იყოს თქვენი მობრძანება კატის ქვეშ.

ნულოვანი ნაბიჯი. ტრენინგის და ნდობის საკითხები

ასე რომ, ჩვენი მომხმარებელი დააჭერს შენახულ ფაილს .rdp გაფართოებით და იღებს შემდეგ მოთხოვნას:

მავნე კავშირი.

ამ ფანჯრის მოსაშორებლად გამოიყენეთ სპეციალური პროგრამა ე.წ RDPSign.exe. სრული დოკუმენტაცია ხელმისაწვდომია, როგორც ყოველთვის, აქ ოფიციალურ საიტზედა ჩვენ განვიხილავთ გამოყენების მაგალითს.

პირველ რიგში, ჩვენ უნდა ავიღოთ სერთიფიკატი ფაილზე ხელმოწერისთვის. ის შეიძლება იყოს:

• საჯარო.
• გაცემულია შიდა სერტიფიკატის ორგანოს მიერ.
• სრულებით ხელმოწერილი.

ყველაზე მნიშვნელოვანი ის არის, რომ სერტიფიკატს აქვს ხელმოწერის შესაძლებლობა (დიახ, შეგიძლიათ აირჩიოთ
EDS ბუღალტერები) და კლიენტის კომპიუტერები მას ენდობოდნენ. აქ გამოვიყენებ ხელმოწერილ სერთიფიკატს.

შეგახსენებთ, რომ ხელმოწერილი სერტიფიკატისადმი ნდობა შეიძლება ორგანიზებული იყოს ჯგუფის პოლიტიკის გამოყენებით. ცოტა მეტი დეტალი - სპოილერის ქვეშ.

როგორ გააკეთოთ სერთიფიკატი სანდო GPO-ს მაგიით

პირველ რიგში, თქვენ უნდა აიღოთ არსებული სერთიფიკატი პირადი გასაღების გარეშე .cer ფორმატში (ეს შეიძლება გაკეთდეს სერთიფიკატის ექსპორტით სერთიფიკატების snap-in-დან) და განათავსოთ იგი ქსელის საქაღალდეში, რომელიც ხელმისაწვდომია მომხმარებლებისთვის წასაკითხად. ამის შემდეგ, შეგიძლიათ დააკონფიგურიროთ ჯგუფის პოლიტიკა.

სერთიფიკატის იმპორტი კონფიგურირებულია განყოფილებაში: კომპიუტერის კონფიგურაცია - პოლიტიკა - Windows კონფიგურაცია - უსაფრთხოების პარამეტრები - საჯარო გასაღების პოლიტიკა - სანდო ძირეული სერტიფიცირების ორგანოები. შემდეგი, დააწკაპუნეთ მარჯვენა ღილაკით სერთიფიკატის იმპორტისთვის.

კონფიგურირებული პოლიტიკა.

კლიენტის კომპიუტერები ახლა ენდობა ხელმოწერილ სერთიფიკატს.

თუ ნდობის საკითხები მოგვარებულია, პირდაპირ ხელმოწერის საკითხზე გადავდივართ.

Პირველი ნაბიჯი. აბსოლუტური ხელმოწერა ფაილზე

არსებობს სერთიფიკატი, ახლა თქვენ უნდა გაარკვიოთ მისი თითის ანაბეჭდი. უბრალოდ გახსენით ის "სერთიფიკატების" სნეპ-ინში და დააკოპირეთ "კომპოზიციის" ჩანართზე.

ჩვენ გვჭირდება ანაბეჭდი.

უმჯობესია დაუყოვნებლივ მიიყვანოთ იგი შესაბამის ფორმაში - მხოლოდ დიდი ასოებით და შუალედების გარეშე, ასეთის არსებობის შემთხვევაში. ამის გაკეთება მოსახერხებელია PowerShell-ის კონსოლში ბრძანებით:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

თითის ანაბეჭდის საჭირო ფორმატში მიღების შემდეგ, შეგიძლიათ უსაფრთხოდ მოაწეროთ ხელი rdp ფაილს:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

სადაც .contoso.rdp არის ჩვენი ფაილის აბსოლუტური ან ფარდობითი გზა.

ფაილის ხელმოწერის შემდეგ, შეუძლებელი იქნება ზოგიერთი პარამეტრის შეცვლა გრაფიკული ინტერფეისის მეშვეობით, როგორიცაა სერვერის სახელი (ნამდვილად, თორემ რა აზრი აქვს ხელმოწერას?) და თუ შეცვლით პარამეტრებს ტექსტური რედაქტორით, ხელმოწერა "ფრინავს".

ახლა, როდესაც ორჯერ დააწკაპუნებთ ეტიკეტზე, შეტყობინება განსხვავებული იქნება:

ახალი მესიჯი. ფერი ნაკლებად საშიშია, უკვე პროგრესია.

ჩვენც მოვიშოროთ.

ნაბიჯი მეორე. და ისევ ნდობის კითხვები

ამ შეტყობინების მოსაშორებლად, ჩვენ კვლავ გვჭირდება ჯგუფის პოლიტიკა. ამჯერად გზა მდგომარეობს განყოფილებაში კომპიუტერის კონფიგურაცია - პოლიტიკა - ადმინისტრაციული შაბლონები - Windows კომპონენტები - დისტანციური დესკტოპის სერვისები - დისტანციური დესკტოპის დაკავშირების კლიენტი - მიუთითეთ სერთიფიკატების SHA1 თითის ანაბეჭდები, რომლებიც წარმოადგენენ სანდო RDP გამომცემლებს.

ჩვენ გვჭირდება პოლიტიკა.

პოლიტიკაში საკმარისია წინა საფეხურიდან ჩვენთვის უკვე ნაცნობი ანაბეჭდის დამატება.

აღსანიშნავია, რომ ეს პოლიტიკა უგულებელყოფს „RDP ფაილების დაშვება მოქმედი გამომცემლებისგან და მორგებული ნაგულისხმევი RDP პარამეტრები“ პოლიტიკას.

კონფიგურირებული პოლიტიკა.

Voila, ახლა არ არის უცნაური კითხვები - მხოლოდ შესვლა-პაროლის მოთხოვნა. ჰმ…

ნაბიჯი სამი. გამჭვირვალე შესვლა სერვერზე

მართლაც, თუ ჩვენ უკვე შევედით დომენის კომპიუტერში, მაშინ რატომ გვჭირდება ხელახლა შევიტანოთ იგივე შესვლა და პაროლი? მოდით გადავიტანოთ რწმუნებათა სიგელები სერვერს „გამჭვირვალედ“. მარტივი RDP-ის შემთხვევაში (RDS Gateway-ის გამოყენების გარეშე), ჩვენ მოვალთ სამაშველოში... ასეა, ჯგუფური პოლიტიკა.

გადავდივართ განყოფილებაში: კომპიუტერის კონფიგურაცია - პოლიტიკა - ადმინისტრაციული შაბლონები - სისტემა - რწმუნებათა სიგელების გადაცემა - ნაგულისხმევი რწმუნებათა სიგელების გადაცემის ნება.

აქ შეგიძლიათ დაამატოთ საჭირო სერვერები სიაში ან გამოიყენოთ wildcard. ასე გამოიყურება TERMSRV/trm.contoso.com ან TERMSRV/*.contoso.com.

კონფიგურირებული პოლიტიკა.

ახლა, თუ გადავხედავთ ჩვენს ეტიკეტს, ის დაახლოებით ასე გამოიყურება:

არ შეცვალოთ მომხმარებლის სახელი.

თუ RDS Gateway გამოიყენება, თქვენ ასევე უნდა დაუშვათ მასზე მონაცემთა გადაცემა. ამისათვის, IIS მენეჯერში, თქვენ უნდა გამორთოთ ანონიმური ავთენტიფიკაცია "Authentication Methods"-ში და ჩართოთ Windows-ის ავტორიზაცია.

კონფიგურირებული IIS.

არ დაგავიწყდეთ ვებ სერვისების გადატვირთვა ბრძანებით:

iisreset /noforce

ახლა ყველაფერი კარგადაა, არანაირი კითხვა და თხოვნა.

გამოკითხვაში მონაწილეობა შეუძლიათ მხოლოდ დარეგისტრირებულ მომხმარებლებს. Შებრძანდითგთხოვთ

მითხარით, ხელს აწერთ RDP ეტიკეტებს თქვენი მომხმარებლებისთვის?

• 43%არა, ისინი გაწვრთნილი არიან, დააჭირონ „OK“ შეტყობინებებში წაკითხვის გარეშე, ზოგიერთები თავად აყენებენ ჩამრთველ ველებს „აღარ მკითხო“.28

• 29.2%მე ფრთხილად ვათავსებ ეტიკეტს ხელებით და ვაკეთებ პირველ შესვლას სერვერზე თითოეულ მომხმარებელთან ერთად.19

• 6.1%რა თქმა უნდა, ყველაფერი რიგზე მომწონს.4

• 21.5%მე არ ვიყენებ ტერმინალის სერვერებს.14

მისცა ხმა 65 მომხმარებელმა. 14-მა მომხმარებელმა თავი შეიკავა.

წყარო: www.habr.com