Саяхан бид Windows терминал сервер дээр шийдлийг хэрэгжүүлсэн. Тэд ердийнх шигээ ажилчдын ширээ рүү холболтын товчлол шидэж, ажиллахыг хэлэв. Гэвч хэрэглэгчид кибер аюулгүй байдлын хувьд айдастай байсан. Мөн серверт холбогдох үед "Та энэ серверт итгэдэг үү? Яг тийм үү?” гэж асуухад тэд айж, бидэн рүү хандсан - бүх зүйл зүгээр үү, бид OK дээр дарж болох уу? Дараа нь асуулт, сандрал гарахгүйн тулд бүх зүйлийг сайхан хийхээр шийдсэн.

Хэрэв хэрэглэгчид тань үүнтэй төстэй айдастай ирсэн хэвээр байгаа бөгөөд та "Дахиж битгий асуу" гэсэн нүдийг шалгахаас залхаж байгаа бол мууранд тавтай морилно уу.

Алхам тэг. Бэлтгэл, итгэлцлийн асуудал

Тиймээс манай хэрэглэгч .rdp өргөтгөлтэй хадгалсан файл дээр дарж дараах хүсэлтийг хүлээн авна.

"Хортой" холболт.

Энэ цонхноос салахын тулд тусгай хэрэгслийг ашиглана уу RDPSign.exe. Бүрэн баримт бичгийг ердийнх шиг эндээс авах боломжтой албан ёсны вэбсайт, мөн бид хэрэглээний жишээг авч үзэх болно.

Эхлээд бид файлд гарын үсэг зурах гэрчилгээ авах хэрэгтэй. Тэр байж болно:

• Олон нийтийн.
• Дотоод Гэрчилгээний Байгууллагын үйлчилгээнээс олгосон.
• Бүрэн өөрөө гарын үсэг зурсан.

Хамгийн чухал зүйл бол гэрчилгээ нь гарын үсэг зурах чадвартай (тиймээ, та сонгож болно
нягтлан бодогчид дижитал гарын үсэгтэй), үйлчлүүлэгчийн компьютерууд түүнд итгэсэн. Энд би өөрөө гарын үсэг зурсан гэрчилгээг ашиглах болно.

Өөрөө гарын үсэг зурсан гэрчилгээнд итгэх итгэлийг бүлгийн бодлогыг ашиглан зохион байгуулж болно гэдгийг сануулъя. Спойлер дор бага зэрэг дэлгэрэнгүй мэдээлэл байна.

GPO-ийн ид шидийг ашиглан гэрчилгээг хэрхэн найдвартай болгох вэ

Эхлээд та одоо байгаа гэрчилгээг .cer форматын хувийн түлхүүргүйгээр авч (үүнийг Сертификатуудын нэмэлт хэсгээс сертификат экспортлох замаар хийж болно) авч, хэрэглэгчдийн унших боломжтой сүлжээний хавтсанд хийх хэрэгтэй. Үүний дараа та бүлгийн бодлогыг тохируулж болно.

Сертификатын импортыг дараах хэсэгт тохируулсан: Компьютерийн тохиргоо - Бодлого - Windows тохиргоо - Аюулгүй байдлын тохиргоо - Нийтийн түлхүүрийн бодлого - Итгэмжлэгдсэн эх баталгаажуулалтын эрх мэдэлтнүүд. Дараа нь гэрчилгээг импортлохын тулд хулганы баруун товчийг дарна уу.

Тохируулсан бодлого.

Үйлчлүүлэгч компьютерууд одоо өөрөө гарын үсэг зурсан гэрчилгээнд итгэх болно.

Хэрэв итгэлцлийн асуудал шийдэгдвэл бид гарын үсгийн асуудал руу шууд шилжинэ.

Нэгдүгээр алхам. Бид файлд гарын үсэг зурдаг

Сертификат байгаа, одоо та хурууны хээг олж мэдэх хэрэгтэй. Үүнийг "Сертификатууд" хэсэгт нээж, "Бүтэц" таб руу хуулна уу.

Бидэнд хэрэгтэй хурууны хээ.

Үүнийг нэн даруй зохих хэлбэрт оруулах нь дээр - зөвхөн том үсгээр, хэрэв байгаа бол хоосон зайгүй. Үүнийг PowerShell консол дээр дараах тушаалаар хялбархан хийж болно.

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Хурууны хээг шаардлагатай форматаар хүлээн авсны дараа та rdp файлд аюулгүйгээр гарын үсэг зурах боломжтой.

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Энд .contoso.rdp нь манай файлын үнэмлэхүй эсвэл харьцангуй зам юм.

Файлд гарын үсэг зурсны дараа серверийн нэр гэх мэт график интерфэйсээр дамжуулан зарим параметрүүдийг өөрчлөх боломжгүй болно (үнэхээр, тэгэхгүй бол гарын үсэг зурах нь юу вэ?) Хэрэв та тохиргоог текст засварлагчаар өөрчилвөл, гарын үсэг "нисдэг".

Одоо та товчлол дээр давхар товшвол мессеж өөр байх болно:

Шинэ мессеж. Өнгө нь бага аюултай, аль хэдийн ахиц дэвшил.

Түүнийг ч бас зайлуулъя.

Хоёрдугаар алхам. Мөн дахин итгэлийн асуултууд

Энэ мессежээс ангижрахын тулд бидэнд дахин бүлгийн бодлого хэрэгтэй болно. Энэ удаад зам нь Компьютерийн тохиргоо - Бодлого - Захиргааны загварууд - Windows бүрэлдэхүүн хэсгүүд - Алсын ширээний үйлчилгээ - Алсын ширээний холболтын үйлчлүүлэгч - Итгэмжлэгдсэн RDP нийтлэгчдийн гэрчилгээний SHA1 хурууны хээг зааж өгөх хэсэгт оршдог.

Бидэнд хэрэгтэй бодлого.

Улс төрд өмнөх шатнаас бидэнд танил болсон хурууны хээг нэмэхэд л хангалттай.

Энэ удирдамж нь хүчинтэй нийтлэгчдийн RDP файлуудыг зөвшөөрөх болон өгөгдмөл захиалгат RDP тохиргооны бодлогыг хүчингүй болгодог гэдгийг тэмдэглэх нь зүйтэй.

Тохируулсан бодлого.

Voila, одоо хачирхалтай асуулт байхгүй - зүгээр л нэвтрэх болон нууц үг оруулах хүсэлт. Хм...

Гуравдугаар алхам. Сервер рүү ил тод нэвтрэх

Үнэхээр, хэрэв бид домэйн компьютерт нэвтрэхдээ аль хэдийн нэвтэрсэн бол яагаад ижил нэвтрэх болон нууц үгээ дахин оруулах шаардлагатай байна вэ? Итгэмжлэх жуух бичгээ "ил тод" сервер рүү шилжүүлье. Энгийн RDP (RDS Gateway ашиглахгүйгээр) тохиолдолд ... Тийм ээ, бүлгийн бодлого бидэнд туслах болно.

Хэсэг рүү очно уу: Компьютерийн тохиргоо - Бодлого - Захиргааны загварууд - Систем - Итгэмжлэл дамжуулах - Өгөгдмөл итгэмжлэлийг шилжүүлэхийг зөвшөөрөх.

Эндээс та шаардлагатай серверүүдийг жагсаалтад нэмэх эсвэл орлуулагч тэмдэг ашиглаж болно. Энэ нь харагдах болно TERMSRV/trm.contoso.com буюу TERMSRV/*.contoso.com.

Тохируулсан бодлого.

Одоо, хэрэв та манай шошгыг харвал энэ нь иймэрхүү харагдах болно.

Хэрэглэгчийн нэрийг өөрчлөх боломжгүй.

Хэрэв та RDS Gateway ашигладаг бол үүн дээр өгөгдөл дамжуулахыг идэвхжүүлэх шаардлагатай. Үүнийг хийхийн тулд IIS менежер дэх "Нотолгооны аргууд" хэсэгт та нэргүй баталгаажуулалтыг идэвхгүй болгож, Windows баталгаажуулалтыг идэвхжүүлэх хэрэгтэй.

IIS тохируулсан.

Дараах тушаалыг өгч дууссаны дараа вэб үйлчилгээг дахин эхлүүлэхээ бүү мартаарай.

iisreset /noforce

Одоо бүх зүйл хэвийн, ямар ч асуулт, асуулт байхгүй.

Зөвхөн бүртгэлтэй хэрэглэгчид санал асуулгад оролцох боломжтой. Нэвтрэх, гуйя.

Надад хэлээч, та хэрэглэгчиддээ зориулж RDP шошгон дээр гарын үсэг зурдаг уу?

• 43%Үгүй ээ, тэд мессежийг уншихгүйгээр "OK" дээр дарж дассан, зарим нь бүр "Дахиж битгий асуу" гэсэн нүдийг өөрөө чагнадаг.

• 29.2%Би гараараа шошгыг болгоомжтой байрлуулж, хэрэглэгч бүртэй хамт серверт эхний нэвтрэлтийг хийдэг.19

• 6.1%Мэдээж бүх зүйлд эмх цэгцтэй байх дуртай.4

• 21.5%Би терминалын сервер ашигладаггүй.14

65 хэрэглэгч санал өгсөн. 14 хэрэглэгч түдгэлзсэн.

Эх сурвалж: www.habr.com