Жакында эле биз Windows терминалынын серверинде чечимди ишке ашырдык. Адаттагыдай эле, алар кызматкерлердин иш такталарына туташуу үчүн жарлыктарды ыргытып, - иштешет. Бирок колдонуучулар киберкоопсуздуктан коркуп калышты. Ал эми серверге туташып жатканда, төмөнкүдөй билдирүүлөрдү көрүп: "Сиз бул серверге ишенесизби? Так, такбы? ”, Алар коркуп, бизге кайрылышты – бирок баары жайындабы, “ОК” дегенди бассам болобу? Анан эч кандай суроо же паника болбошу үчүн бардыгын кооз жасоону чечишти.

Эгерде сиздин колдонуучулар дагы эле ушундай коркуу сезими менен кайрылса жана сиз "Дагы сураба" деген белгини коюудан чарчасаңыз - кош келиңиз.

Нөл кадам. Окутуу жана ишеним маселелери

Ошентип, биздин колдонуучу .rdp кеңейтүүсү менен сакталган файлды чыкылдатып, төмөнкү сурамды алат:

Зыяндуу байланыш.

Бул терезеден кутулуу үчүн, деп аталган атайын утилитаны колдонуңуз RDPSign.exe. Толук документтер, адаттагыдай эле, жеткиликтүү расмий сайты, жана биз колдонуунун мисалын талдайбыз.

Алгач биз файлга кол коюу үчүн сертификат алышыбыз керек. Ал болушу мүмкүн:

• Коомдук.
• Ички күбөлүк органы тарабынан берилген.
• Толугу менен өзү кол койгон.

Эң негизгиси, күбөлүк кол коюуга мүмкүнчүлүгү бар (ооба, сиз тандай аласыз
EDS бухгалтерлери), жана кардар ЖК ага ишенишкен. Бул жерде мен өзүм кол койгон сертификатты колдоном.

Өз алдынча кол коюлган сертификатка ишенүү топтук саясаттарды колдонуу менен уюштурулушу мүмкүн экенин эскерте кетейин. Бир аз көбүрөөк маалымат - спойлердин астында.

GPO сыйкырына ишенген сертификатты кантип жасоо керек

Биринчиден, сиз .cer форматындагы купуя ачкычы жок учурдагы сертификатты алып (бул сертификатты Сертификаттардын кошумча бөлүгүнөн экспорттоо аркылуу жасалышы мүмкүн) жана аны колдонуучуларга окуу үчүн жеткиликтүү болгон тармак папкасына салышыңыз керек. Андан кийин, сиз Group Policy конфигурациялай аласыз.

Сертификатты импорттоо төмөнкү бөлүмдө конфигурацияланат: Компьютердин конфигурациясы - Саясат - Windows конфигурациясы - Коопсуздук жөндөөлөрү - Коомдук ачкыч саясаттары - Ишенимдүү тамыр тастыктоо органдары. Андан кийин, сертификатты импорттоо үчүн оң баскычты чыкылдатыңыз.

Конфигурацияланган саясат.

Кардар компьютерлери эми өзү кол койгон сертификатка ишенет.

Эгерде ишеним маселелери чечилсе, биз түздөн-түз кол коюу маселесине барабыз.

Биринчи кадам. Файлга кол коюу

Сертификат бар, азыр анын манжа изин билиш керек. Жөн гана аны "Сертификаттар" кошумча бөлүгүнөн ачып, "Композиция" өтмөгүнө көчүрүңүз.

Бизге из керек.

Аны дароо туура формага келтирген жакшы - баш тамгалар жана боштуктар жок, эгер бар болсо. Муну PowerShell консолунда төмөнкү буйрук менен жасоо ыңгайлуу:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Каалаган форматта басып чыгарууну алгандан кийин, сиз rdp файлына аман-эсен кол кое аласыз:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Бул жерде .contoso.rdp биздин файлга абсолюттук же салыштырмалуу жол.

Файлга кол коюлгандан кийин, графикалык интерфейс аркылуу кээ бир параметрлерди, мисалы сервердин аталышын өзгөртүү мүмкүн болбой калат (чын эле, антпесе кол коюунун мааниси эмнеде?) Жана эгер сиз жөндөөлөрдү тексттик редактор менен өзгөртсөңүз, анда кол «учуп кетет».

Эми, сиз энбелгисин эки жолу басканда, билдирүү башкача болот:

Жаңы билдирүү. Түсү анча коркунучтуу эмес, буга чейин прогресс.

Андан да кутулалы.

Экинчи кадам. Жана дагы ишеним суроолору

Бул билдирүүдөн кутулуу үчүн бизге кайрадан топтук саясат керек. Бул жолу компьютердин конфигурациясы - Саясаттар - Административдик шаблондор - Windows компоненттери - Алыскы иштакта кызматтары - Алыскы иштакта туташуу кардары - ишенимдүү RDP басып чыгаруучуларын көрсөткөн сертификаттардын SHA1 манжа издерин көрсөтүңүз.

Бизге саясат керек.

Саясатта мурунку кадамдан бизге тааныш болгон изди кошуу жетиштүү.

Белгилей кетчү нерсе, бул саясат жарактуу жарыялоочулардын RDP файлдарына уруксат берүү жана демейки жеке RDP жөндөөлөрүнүн саясатын жокко чыгарат.

Конфигурацияланган саясат.

Voila, азыр кызыксыз суроолор жок - бир гана логин-парол суроо. Хм…

Үчүнчү кадам. Серверге ачык кирүү

Чынында эле, биз домендик компьютерге киргенде кирген болсок, анда эмне үчүн ошол эле логин менен сырсөздү кайра киргизишибиз керек? Келгиле, ишеним грамоталарын серверге "ачык" өткөрүп берели. Жөнөкөй RDP учурда (RDS Gateway колдонбостон), ... Туура, топтук саясат бизге жардамга келет.

Биз бөлүмгө барабыз: Компьютердин конфигурациясы - Саясат - Административдик шаблондор - Система - Каттоо маалыматтарын өткөрүү - Демейки эсептик дайындарды өткөрүүгө уруксат берүү.

Бул жерде сиз тизмеге керектүү серверлерди кошсоңуз же айкалыштыруучу белгини колдонсоңуз болот. Бул окшош болот TERMSRV/trm.contoso.com же TERMSRV/*.contoso.com.

Конфигурацияланган саясат.

Эми, биздин энбелгибизди карасак, ал төмөнкүдөй болот:

Колдонуучунун атын өзгөртпө.

Эгер RDS Gateway колдонулса, анда сиз ага маалыматтарды өткөрүүгө уруксат беришиңиз керек. Бул үчүн, IIS менеджеринде "Аутентификация ыкмалары" бөлүмүндө анонимдүү текшерүүнү өчүрүп, Windows аутентификациясын иштетүү керек.

Конфигурацияланган IIS.

Желе кызматтарын буйрук менен өчүрүүнү унутпаңыз:

iisreset /noforce

Азыр баары жакшы, эч кандай суроо жана өтүнүч жок.

Сурамжылоого катталган колдонуучулар гана катыша алышат. Кирүү, өтүнөмүн.

Айтыңызчы, сиз колдонуучуларыңыз үчүн RDP энбелгилерине кол коёсузбу?

• 43%Жок, алар кабарларды окубай туруп эле “OK” баскычын басууга үйрөтүлгөн, айрымдары “Дагы сураба” деген кутучаларды өздөрү да коюшат.28

• 29.2%Мен этикетканы колум менен кылдаттык менен коюп, ар бир колдонуучу менен бирге серверге биринчи логин жасайм.19

• 6.1%Албетте, мага баары ирети менен жагат.4

• 21.5%Мен терминалдык серверлерди колдонбойм.14

65 колдонуучу добуш берди. 14 колдонуучу добуш берүүдөн баш тартты.

Source: www.habr.com