Tidak lama dahulu kami melaksanakan penyelesaian pada pelayan terminal Windows. Seperti biasa, mereka melemparkan pintasan sambungan ke meja pekerja dan menyuruh mereka bekerja. Tetapi pengguna ternyata terintimidasi dari segi Keselamatan Siber. Dan apabila menyambung ke pelayan, melihat mesej seperti: “Adakah anda mempercayai pelayan ini? Betul ke?”, mereka berasa takut dan menoleh kepada kami - adakah semuanya baik-baik saja, bolehkah kami mengklik OK? Kemudian diputuskan untuk melakukan segala-galanya dengan indah, supaya tidak ada soalan atau panik.
Jika pengguna anda masih datang kepada anda dengan ketakutan yang sama, dan anda bosan menandai kotak "Jangan tanya lagi", selamat datang ke kucing itu.
Langkah sifar. Isu persediaan dan amanah
Jadi, pengguna kami mengklik pada fail yang disimpan dengan sambungan .rdp dan menerima permintaan berikut:
Sambungan "berniat jahat"..
Untuk menyingkirkan tetingkap ini, gunakan utiliti khas yang dipanggil RDPSign.exe. Dokumentasi penuh tersedia, seperti biasa, di , dan kita akan melihat contoh penggunaan.
Pertama, kita perlu mengambil sijil untuk menandatangani fail. Dia boleh menjadi:
- Awam.
- Dikeluarkan oleh perkhidmatan Pihak Berkuasa Sijil dalaman.
- Ditandatangani sendiri sepenuhnya.
Perkara yang paling penting ialah sijil mempunyai keupayaan untuk ditandatangani (ya, anda boleh memilih
akauntan mempunyai tandatangan digital), dan PC pelanggan mempercayainya. Di sini saya akan menggunakan sijil yang ditandatangani sendiri.
Biar saya ingatkan anda bahawa kepercayaan terhadap sijil yang ditandatangani sendiri boleh diatur menggunakan dasar kumpulan. Sedikit lagi butiran ada di bawah spoiler.
Cara Membuat Sijil Dipercayai Menggunakan Keajaiban GPO
Mula-mula, anda perlu mengambil sijil sedia ada tanpa kunci peribadi dalam format .cer (ini boleh dilakukan dengan mengeksport sijil daripada snap-in Sijil) dan meletakkannya dalam folder rangkaian yang boleh dibaca oleh pengguna. Selepas ini, anda boleh mengkonfigurasi Dasar Kumpulan.
Import sijil dikonfigurasikan dalam bahagian: Konfigurasi Komputer - Dasar - Konfigurasi Windows - Tetapan Keselamatan - Dasar Kunci Awam - Pihak Berkuasa Pensijilan Root Dipercayai. Seterusnya, klik kanan untuk mengimport sijil.
Dasar yang dikonfigurasikan.
PC pelanggan kini akan mempercayai sijil yang ditandatangani sendiri.
Jika isu amanah diselesaikan, kami beralih terus ke isu tandatangan.
Langkah satu. Kami menandatangani fail dengan cara yang menyapu
Terdapat sijil, kini anda perlu mengetahui cap jarinya. Cuma bukanya dalam snap-in "Sijil" dan salinnya ke tab "Komposisi".
Cap jari yang kita perlukan.
Adalah lebih baik untuk segera membawanya ke dalam bentuk yang betul - hanya huruf besar dan tiada ruang, jika ada. Ini boleh dilakukan dengan mudah dalam konsol PowerShell dengan arahan:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Setelah menerima cap jari dalam format yang diperlukan, anda boleh menandatangani fail rdp dengan selamat:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Di mana .contoso.rdp ialah laluan mutlak atau relatif kepada fail kami.
Sebaik sahaja fail ditandatangani, ia tidak lagi boleh menukar beberapa parameter melalui antara muka grafik, seperti nama pelayan (benar-benar, jika tidak, apa gunanya menandatangani?) Dan jika anda menukar tetapan dengan editor teks, tandatangan "terbang".
Sekarang apabila anda mengklik dua kali pada pintasan mesej akan berbeza:
Mesej baru. Warna kurang bahaya, sudah maju.
Mari kita singkirkan dia juga.
Langkah kedua. Dan sekali lagi persoalan kepercayaan
Untuk menyingkirkan mesej ini, kami memerlukan Polisi Kumpulan sekali lagi. Kali ini jalan terletak pada bahagian Konfigurasi Komputer - Dasar - Templat Pentadbiran - Komponen Windows - Perkhidmatan Desktop Jauh - Pelanggan Sambungan Desktop Jauh - Tentukan cap jari SHA1 sijil yang mewakili penerbit RDP yang dipercayai.
Dasar yang kita perlukan.
Dalam politik, cukuplah dengan menambah cap jari yang sudah biasa kita lakukan dari langkah sebelumnya.
Perlu diingat bahawa dasar ini mengatasi Benarkan fail RDP daripada penerbit yang sah dan dasar tetapan RDP tersuai lalai.
Dasar yang dikonfigurasikan.
Voila, kini tiada soalan pelik - hanya permintaan untuk log masuk dan kata laluan. Hm…
Langkah ketiga. Log masuk telus ke pelayan
Sesungguhnya, jika kita telah log masuk semasa log masuk ke komputer domain, maka mengapa kita perlu memasukkan semula log masuk dan kata laluan yang sama? Mari pindahkan bukti kelayakan ke pelayan "secara telus". Dalam kes RDP mudah (tanpa menggunakan RDS Gateway), ... Betul, dasar kumpulan akan membantu kami.
Pergi ke bahagian: Konfigurasi Komputer - Dasar - Templat Pentadbiran - Sistem - Pemindahan Bukti Kelayakan - Benarkan Pemindahan Bukti Kelayakan Lalai.
Di sini anda boleh menambah pelayan yang diperlukan pada senarai atau menggunakan kad bebas. Ia akan kelihatan seperti TERMSRV/trm.contoso.com atau TERMSRV/*.contoso.com.
Dasar yang dikonfigurasikan.
Sekarang, jika anda melihat label kami, ia akan kelihatan seperti ini:
Nama pengguna tidak boleh ditukar.
Jika anda menggunakan RDS Gateway, anda juga perlu mendayakan pemindahan data padanya. Untuk melakukan ini, dalam Pengurus IIS, dalam "Kaedah Pengesahan" anda perlu melumpuhkan pengesahan tanpa nama dan mendayakan Pengesahan Windows.
IIS dikonfigurasikan.
Jangan lupa untuk memulakan semula perkhidmatan web apabila selesai dengan arahan:
iisreset /noforce
Sekarang semuanya baik-baik saja, tiada soalan atau pertanyaan.
Hanya pengguna berdaftar boleh mengambil bahagian dalam tinjauan. , Sama-sama.
Beritahu saya, adakah anda menandatangani label RDP untuk pengguna anda?
-
43% Tidak, mereka terbiasa mengklik "OK" dalam mesej tanpa membacanya, malah ada yang menandai kotak itu sendiri untuk "Jangan tanya lagi."28
-
29.2% Saya berhati-hati meletakkan label dengan tangan saya dan membuat log masuk pertama ke pelayan bersama-sama dengan setiap pengguna.19
-
6.1% Sudah tentu, saya suka ketertiban dalam segala-galanya.4
-
21.5% Saya tidak menggunakan pelayan terminal.14
65 pengguna mengundi. 14 pengguna berpantang.
Sumber: www.habr.com