Жақында біз Windows терминал серверінде шешімді енгіздік. Әдеттегідей, олар қызметкерлердің жұмыс үстеліне қосылуға арналған төте жолдарды тастап, жұмыс істеуді айтты. Бірақ пайдаланушылар киберқауіпсіздіктен қорқатын болды. Серверге қосылған кезде келесідей хабарлар көрінеді: «Сіз бұл серверге сенесіз бе? Дәл солай ма? », Олар қорқып, бізге бұрылды - бірақ бәрі жақсы ма, «ОК» түймесін басуға болады ма? Содан кейін сұрақтар мен дүрбелең болмас үшін бәрін әдемі жасау туралы шешім қабылданды.

Егер сіздің пайдаланушыларыңыз сізге әлі де осындай қорқынышпен келсе және сіз «Қайта сұрамаңыз» белгісін қоюдан шаршасаңыз - мысықтың астына қош келдіңіз.

Нөлдік қадам. Оқыту және сенім мәселелері

Сонымен, біздің пайдаланушы .rdp кеңейтімі бар сақталған файлды басып, келесі сұрауды алады:

Зиянды байланыс.

Бұл терезеден құтылу үшін арнайы қызметтік бағдарламаны пайдаланыңыз RDPSign.exe. Толық құжаттаманы әдеттегідей мына мекенжайда алуға болады ресми сайт, және біз пайдалану мысалын талдаймыз.

Алдымен файлға қол қою үшін сертификат алуымыз керек. Ол болуы мүмкін:

• Қоғамдық.
• Ішкі сертификаттау орталығы шығарған.
• Толығымен өздігінен қол қойылған.

Ең бастысы, сертификатта қол қою мүмкіндігі бар (иә, таңдауға болады
ЭСҚ есепшілері) және клиенттік компьютерлер оған сенді. Мұнда мен өздігінен қол қойылған сертификатты қолданамын.

Өздігінен қол қойылған сертификатқа сенуді топтық саясаттарды пайдалана отырып ұйымдастыруға болатынын еске салайын. Кішкене толығырақ - спойлердің астында.

GPO сиқырымен сенімді сертификатты қалай жасауға болады

Алдымен, .cer пішіміндегі жеке кілтсіз бар сертификатты алып (бұл сертификатты Сертификаттар қосымша модулінен экспорттау арқылы жасалуы мүмкін) және оны оқу үшін пайдаланушыларға қолжетімді желілік қалтаға қою керек. Осыдан кейін топтық саясатты конфигурациялауға болады.

Куәлікті импорттау бөлімде конфигурацияланады: Компьютер конфигурациясы - Саясат - Windows конфигурациясы - Қауіпсіздік параметрлері - Ашық кілт саясаттары - Сенімді түбірлік сертификаттау органдары. Содан кейін сертификатты импорттау үшін тінтуірдің оң жақ түймешігімен басыңыз.

Конфигурацияланған саясат.

Клиенттік компьютерлер енді өздігінен қол қойылған сертификатқа сенеді.

Сенім мәселелері шешілсе, біз тікелей қол қою мәселесіне көшеміз.

Бірінші қадам. Біз файлға қол қоямыз

Сертификат бар, енді оның саусақ ізін білу керек. Оны «Сертификаттар» қосымша модулінде ашып, «Композиция» қойындысына көшіріңіз.

Бізге із керек.

Оны бірден дұрыс пішінге келтірген дұрыс - тек бас әріптермен және егер бар болса, бос орындарсыз. Мұны PowerShell консолінде пәрменмен орындау ыңғайлы:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Қажетті форматта басып шығаруды алғаннан кейін сіз rdp файлына қауіпсіз қол қоя аласыз:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Мұндағы .contoso.rdp файлымызға абсолютті немесе салыстырмалы жол болып табылады.

Файлға қол қойылғаннан кейін графикалық интерфейс арқылы кейбір параметрлерді өзгерту мүмкін болмайды, мысалы, сервер атауы (шынымен, әйтпесе қол қоюдың мәні неде?) Ал параметрлерді мәтіндік редактордың көмегімен өзгертсеңіз, содан кейін қолтаңба «ұшады».

Енді жапсырманы екі рет басқан кезде хабар басқаша болады:

Жаңа хабарлама. Түсі қауіпті емес, қазірдің өзінде прогресс.

Одан да құтылайық.

Екінші қадам. Және тағы да сенім сұрақтары

Бұл хабардан құтылу үшін бізге қайтадан топтық саясат қажет. Бұл жолы компьютер конфигурациясы - Саясат - Әкімшілік үлгілер - Windows құрамдастары - Қашықтағы жұмыс үстелі қызметтері - Қашықтағы жұмыс үстеліне қосылу клиенті - сенімді RDP баспагерлерін көрсететін сертификаттардың SHA1 саусақ іздерін көрсетіңіз.

Бізге саясат керек.

Саясатқа алдыңғы қадамнан бұрыннан таныс ізді қосу жеткілікті.

Айта кетейік, бұл саясат "Жарамды жариялаушылардың RDP файлдарына және реттелетін әдепкі RDP параметрлеріне рұқсат беру" саясатын қайта анықтайды.

Конфигурацияланған саясат.

Voila, енді ешқандай таңқаларлық сұрақтар жоқ - тек логин-пароль сұрауы. Хм…

Үшінші қадам. Серверге мөлдір кіру

Шынында да, егер біз домендік компьютерге кірген болсақ, неге сол логин мен құпия сөзді қайта енгізуіміз керек? Тіркелгі деректерін серверге «мөлдір түрде» жіберейік. Қарапайым RDP жағдайында (RDS Gateway қолданбай), біз құтқаруға келеміз ... Бұл дұрыс, топтық саясат.

Біз бөлімге өтеміз: Компьютер конфигурациясы - Саясат - Әкімшілік үлгілер - Жүйе - Тіркелгі деректерін беру - Әдепкі тіркелгі деректерін тасымалдауға рұқсат ету.

Мұнда тізімге қажетті серверлерді қосуға немесе қойылмалы таңбаны пайдалануға болады. Ол сияқты болады TERMSRV/trm.contoso.com немесе TERMSRV/*.contoso.com.

Конфигурацияланған саясат.

Енді жапсырмамызға қарасақ, ол келесідей болады:

Пайдаланушы атын өзгертпеңіз.

Егер RDS шлюзі пайдаланылса, оған деректерді тасымалдауға рұқсат беру қажет болады. Ол үшін IIS менеджерінде «Аутентификация әдістері» бөлімінде анонимді тексеруді өшіріп, Windows аутентификациясын қосу керек.

конфигурацияланған IIS.

Мына пәрменмен веб-қызметтерді қайта іске қосуды ұмытпаңыз:

iisreset /noforce

Қазір бәрі жақсы, сұрақтар мен сұраулар жоқ.

Сауалнамаға тек тіркелген пайдаланушылар қатыса алады. Кіру, өтінемін.

Айтыңызшы, сіз пайдаланушыларыңыз үшін RDP белгілеріне қол қоясыз ба?

• 43%Жоқ, олар хабарламаларды оқымай-ақ «OK» түймесін басуға үйретілген, кейбіреулері тіпті «Қайта сұрама» құсбелгілерін өздері қояды.28

• 29.2%Мен жапсырманы қолыммен мұқият орналастырамын және әрбір пайдаланушымен бірге серверге бірінші логин жасаймын.19

• 6.1%Әрине, мен бәрінде тәртіпті жақсы көремін.4

• 21.5%Мен терминалдық серверлерді қолданбаймын.14

65 пайдаланушы дауыс берді. 14 пайдаланушы қалыс қалды.

Ақпарат көзі: www.habr.com