မကြာသေးမီက ကျွန်ုပ်တို့သည် Windows terminal server တွင် ဖြေရှင်းချက်တစ်ခုကို အကောင်အထည်ဖော်ခဲ့သည်။ ခါတိုင်းလိုပဲ၊ သူတို့က ဝန်ထမ်းတွေရဲ့ desktops တွေကို ချိတ်ဆက်ဖို့အတွက် shortcuts တွေကို ပစ်ချပြီး work လို့ပြောကြတယ်။ ဒါပေမယ့် သုံးစွဲသူတွေက Cybersecurity ရဲ့ ခြိမ်းခြောက်မှုကို ခံခဲ့ရပါတယ်။ ဆာဗာသို့ ချိတ်ဆက်သည့်အခါတွင်၊ “ဤဆာဗာကို သင်ယုံကြည်ပါသလား။ အတိအကျ ဟုတ်ရဲ့လား”၊ သူတို့ ကြောက်လန့်ပြီး ကျွန်တော်တို့ကို လှည့်ကြည့်လိုက်တော့ အားလုံး အဆင်ပြေရဲ့လား၊ OK ကို နှိပ်လို့ရမလား? ထို့နောက် မေးခွန်းထုတ်စရာ သို့မဟုတ် ထိတ်လန့်စရာမရှိစေရန် အရာအားလုံးကို လှပစွာလုပ်ဆောင်ရန် ဆုံးဖြတ်ခဲ့သည်။

အကယ်၍ သင့်အသုံးပြုသူများသည် အလားတူကြောက်ရွံ့မှုများဖြင့် သင့်ထံလာသေးပြီး “ထပ်မမေးပါနှင့်” ဟု အမှတ်ခြစ်ရန် ငြီးငွေ့နေပါက ကြောင်အောက်တွင် ကြိုဆိုလိုက်ပါ။

သုညအဆင့်။ လေ့ကျင့်ရေးနှင့် ယုံကြည်မှုကိစ္စများ

ထို့ကြောင့်၊ ကျွန်ုပ်တို့၏အသုံးပြုသူသည် .rdp တိုးချဲ့မှုဖြင့် သိမ်းဆည်းထားသောဖိုင်ကို နှိပ်ပြီး အောက်ပါတောင်းဆိုချက်ကို လက်ခံရရှိသည်-

အန္တရာယ်ရှိသော ချိတ်ဆက်မှု.

ဤဝင်းဒိုးကို ဖယ်ရှားရန်၊ ခေါ်သည့် အထူး အသုံးဝင်မှုကို အသုံးပြုပါ။ RDPSign.exe စာရွက်စာတမ်းအပြည့်အစုံကို ခါတိုင်းလိုပဲ၊ at တရားဝင်ဝက်ဘ်ဆိုက်နှင့် အသုံးပြုပုံ ဥပမာကို ခွဲခြမ်းစိတ်ဖြာပါမည်။

အရင်ဆုံး ဖိုင်ကို လက်မှတ်ထိုးဖို့ လက်မှတ်ယူရမယ်။ သူဖြစ်နိုင်သည်-

• အများသူငှာ။
• ဌာနတွင်း သက်သေခံလက်မှတ် အာဏာပိုင်မှ ထုတ်ပေးသည်။
• ကိုယ်တိုင်လက်မှတ်ထိုးပြီး

အရေးကြီးဆုံးအချက်မှာ လက်မှတ်တွင် လက်မှတ်ရေးထိုးနိုင်သည် (ဟုတ်ကဲ့၊ သင်ရွေးချယ်နိုင်ပါသည်။
EDS စာရင်းကိုင်များ) နှင့် client PC များက သူ့ကို ယုံကြည်ခဲ့ကြသည်။ ဤနေရာတွင် ကျွန်ုပ်ကိုယ်တိုင် လက်မှတ်ထိုးထားသော လက်မှတ်ကို အသုံးပြုပါမည်။

ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်တွင် ယုံကြည်မှုကို အဖွဲ့မူဝါဒများကို အသုံးပြု၍ စည်းရုံးနိုင်သည်ကို သတိပေးပါရစေ။ အနည်းငယ်အသေးစိတ်အချက်များ - spoiler အောက်တွင်။

GPO ၏ Magic ဖြင့်ယုံကြည်စိတ်ချရသောလက်မှတ်ကိုဘယ်လိုဖန်တီးမလဲ။

ဦးစွာ၊ သင်သည် .cer ဖော်မတ်တွင် သီးသန့်သော့မပါဘဲ ရှိပြီးသား လက်မှတ်ကို ယူရန်လိုအပ်သည် (၎င်းကို Certificate snap-in မှ လက်မှတ်ကို ထုတ်ယူခြင်းဖြင့် လုပ်ဆောင်နိုင်သည်) နှင့် အသုံးပြုသူများ ဝင်ရောက်ဖတ်ရှုနိုင်သော ကွန်ရက်ဖိုင်တွဲတစ်ခုတွင် ထည့်သွင်းပါ။ ထို့နောက်တွင်၊ သင်သည် Group Policy ကို configure လုပ်နိုင်ပါသည်။

လက်မှတ်ကို တင်သွင်းခြင်း အပိုင်း- ကွန်ပြူတာဖွဲ့စည်းပုံ - မူဝါဒများ - Windows ဖွဲ့စည်းမှုပုံစံ - လုံခြုံရေးဆက်တင်များ - အများသူငှာသော့မူဝါဒများ - ယုံကြည်စိတ်ချရသော အမြစ်အသိအမှတ်ပြု အာဏာပိုင်များ။ ထို့နောက်၊ လက်မှတ်ကိုတင်သွင်းရန် ညာဖက်ကလစ်နှိပ်ပါ။

ပြင်ဆင်ထားသောမူဝါဒ။

ယခုအခါ client PC များသည် ကိုယ်တိုင်လက်မှတ်ထိုးထားသော လက်မှတ်ကို ယုံကြည်လာပါမည်။

ယုံကြည်မှုပြဿနာများကို ဖြေရှင်းပြီးပါက၊ ကျွန်ုပ်တို့သည် လက်မှတ်ပြဿနာသို့ တိုက်ရိုက်သွားပါသည်။

အဆင့်တစ်။ ဖိုင်ကို သဲသဲမဲမဲ လက်မှတ်ထိုးသည်။

လက်မှတ်တစ်ခုရှိပါသည်၊ ယခုအခါတွင် ၎င်း၏လက်ဗွေကို သင်ရှာဖွေရန်လိုအပ်ပါသည်။ ၎င်းကို "Certificates" snap-in တွင်ဖွင့်ပြီး "ဖွဲ့စည်းမှု" တက်ဘ်တွင် ကူးယူပါ။

တံဆိပ်ရိုက်နှိပ်ဖို့ လိုတယ်။

သင့်လျော်သောပုံစံသို့ ချက်ချင်းယူဆောင်လာခြင်းသည် ပိုကောင်းသည် - စာလုံးကြီးများနှင့် နေရာလွတ်များမပါရှိလျှင် ချက်ချင်းယူဆောင်လာခြင်းသည် ပိုကောင်းပါတယ်။ အမိန့်ဖြင့် PowerShell console တွင် ၎င်းကို ပြုလုပ်ရန် အဆင်ပြေသည်-

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

လိုချင်သောပုံစံဖြင့် ပရင့်ထုတ်ခြင်းကို လက်ခံရရှိပြီးနောက်၊ သင်သည် rdp ဖိုင်ကို လုံခြုံစွာ လက်မှတ်ထိုးနိုင်သည်-

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

.contoso.rdp သည် ကျွန်ုပ်တို့၏ဖိုင်အတွက် လုံးဝ (သို့) ဆွေမျိုးလမ်းကြောင်းဖြစ်သည်။

ဖိုင်ကို လက်မှတ်ရေးထိုးပြီးနောက်၊ ဆာဗာအမည်ကဲ့သို့သော ဂရပ်ဖစ်အင်တာဖေ့စ်မှတစ်ဆင့် ကန့်သတ်ဘောင်အချို့ကို ပြောင်းလဲနိုင်တော့မည်မဟုတ်ပါ (တကယ်တော့ မဟုတ်ရင် လက်မှတ်ထိုးရန်အချက်က ဘာလဲ။) ပြီးတော့ ဆက်တင်တွေကို စာသားတည်းဖြတ်သူနဲ့ ပြောင်းရင်၊ ထို့နောက် လက်မှတ် "ယင်ကောင်"။

ယခု၊ သင်သည် အညွှန်းကို နှစ်ချက်နှိပ်လိုက်သောအခါ၊ မက်ဆေ့ချ်သည် ကွဲပြားလိမ့်မည်-

မက်ဆေ့ခ်ျအသစ်။ အရောင်က အန္တရာယ်နည်းပြီး တိုးတက်နေပြီ။

သူ့ကိုလည်း ဖယ်ကြရအောင်။

အဆင့်နှစ်။ ပြီးတော့ ယုံကြည်မှုမေးခွန်းတွေ ထပ်မေးပြန်တယ်။

ဤမက်ဆေ့ချ်ကို ဖယ်ရှားရန်၊ ကျွန်ုပ်တို့သည် အုပ်စုမူဝါဒတစ်ခု လိုအပ်ပြန်သည်။ ဤအချိန်သည် ကွန်ပြူတာဖွဲ့စည်းပုံ - မူဝါဒများ - စီမံခန့်ခွဲရေးပုံစံများ - Windows အစိတ်အပိုင်းများ - အဝေးထိန်းဒက်စ်တော့ဝန်ဆောင်မှုများ - အဝေးထိန်းဒက်စ်တော့ချိတ်ဆက်မှု ကလိုင်းယင့် - ယုံကြည်စိတ်ချရသော RDP ထုတ်ဝေသူများအား ကိုယ်စားပြုသည့် လက်မှတ်များ၏ SHA1 လက်ဗွေရာများကို သတ်မှတ်ပါ။

မူဝါဒတစ်ခုလိုတယ်။

မူဝါဒတွင်၊ ယခင်အဆင့်မှ ကျွန်ုပ်တို့နှင့် အကျွမ်းတဝင်ရှိပြီးသား သင်္ကေတကို ထည့်ရန် လုံလောက်ပါသည်။

ဤမူဝါဒသည် "တရားဝင်ထုတ်ဝေသူများထံမှ RDP ဖိုင်များကို ခွင့်ပြုရန်နှင့် စိတ်ကြိုက်ပုံသေ RDP ဆက်တင်များ" မူဝါဒကို အစားထိုးထားသည်ကို သတိပြုသင့်သည်။

ပြင်ဆင်ထားသောမူဝါဒ။

ကဲ ဒါဆိုရင်တော့ ထူးဆန်းတဲ့မေးခွန်းတွေ မရှိတော့ပါဘူး - အကောင့်ဝင်-စကားဝှက် တောင်းဆိုမှုတစ်ခုသာ ဖြစ်ပါတယ်။ ဟမ်...

အဆင့်သုံး။ ဆာဗာသို့ ဖောက်ထွင်းဝင်ရောက်ပါ။

အမှန်မှာ၊ အကယ်၍ ကျွန်ုပ်တို့သည် ဒိုမိန်းကွန်ပြူတာသို့ လော့ဂ်အင်ဝင်ပြီးပါက၊ အဘယ်ကြောင့် တူညီသော လော့ဂ်အင်နှင့် စကားဝှက်ကို ပြန်လည်ထည့်သွင်းရန် လိုအပ်သနည်း။ အထောက်အထားများကို ဆာဗာသို့ "ပွင့်လင်းမြင်သာစွာ" ပေးပို့ကြပါစို့။ ရိုးရှင်းသော RDP (RDS Gateway ကိုအသုံးမပြုဘဲ) တွင်ကျွန်ုပ်တို့သည်ကယ်တင်ရန်လာလိမ့်မည် ... ဒါပဲ၊ အဖွဲ့မူဝါဒ။

ကျွန်ုပ်တို့သည် အပိုင်းသို့သွားသည်- ကွန်ပျူတာဖွဲ့စည်းပုံ - မူဝါဒများ - စီမံခန့်ခွဲရေးပုံစံများ - စနစ် - အထောက်အထားများ ဖြတ်သန်းခြင်း - ပုံသေအထောက်အထားများကို လွှဲပြောင်းခွင့်ပြုပါ။

ဤနေရာတွင် သင်သည် စာရင်းထဲသို့ လိုအပ်သော ဆာဗာများကို ထည့်နိုင်သည် သို့မဟုတ် သင်္ကေတတစ်ခုကို အသုံးပြုနိုင်သည်။ တူနေလိမ့်မယ်။ TERMSRV/trm.contoso.com သို့မဟုတ် TERMSRV/*.contoso.com ။

ပြင်ဆင်ထားသောမူဝါဒ။

ယခုကျွန်ုပ်တို့၏တံဆိပ်ကိုကြည့်လျှင်၊ ၎င်းသည်ဤကဲ့သို့သောပုံပေါ်လိမ့်မည်-

အသုံးပြုသူအမည်ကို မပြောင်းပါနှင့်။

RDS Gateway ကို အသုံးပြုပါက ၎င်းတွင် ဒေတာလွှဲပြောင်းခြင်းကိုလည်း ခွင့်ပြုရန် လိုအပ်ပါသည်။ ထိုသို့လုပ်ဆောင်ရန်၊ IIS မန်နေဂျာတွင်၊ သင်သည် "Authentication Methods" ရှိ အမည်မသိ စစ်မှန်ကြောင်းကို ပိတ်ပြီး Windows စစ်မှန်ကြောင်းကို ဖွင့်ရန် လိုအပ်သည်။

IIS ကို ပြင်ဆင်ထားသည်။

အမိန့်ဖြင့် ဝဘ်ဝန်ဆောင်မှုများကို ပြန်လည်စတင်ရန် မမေ့ပါနှင့်။

iisreset /noforce

ယခုတော့ အားလုံးအဆင်ပြေပြီ၊ မေးစရာ၊ တောင်းဆိုစရာတွေ မရှိပါ။

စာရင်းသွင်းအသုံးပြုသူများသာ စစ်တမ်းတွင် ပါဝင်နိုင်ပါသည်။ ဆိုင်းအင်လုပ်ခြင်း, ကျေးဇူးပြု။

ပြောပြပါ၊ သင့်အသုံးပြုသူများအတွက် RDP အညွှန်းများကို လက်မှတ်ရေးထိုးပါသလား။

• 43%မဟုတ်ပါ၊ ၎င်းတို့သည် မဖတ်ဘဲ မက်ဆေ့ချ်များတွင် “OK” ကို နှိပ်ရန် လေ့ကျင့်ပေးထားပြီး အချို့က ၎င်းတို့ကိုယ်တိုင် “ထပ်မမေးပါနှင့်” ဟူသော အမှတ်ခြစ်ပုံးများကိုပင် ထည့်ထားကြသည်။28

• 29.2%ကျွန်ုပ်သည် အညွှန်းကို လက်ဖြင့် ဂရုတစိုက်ထားကာ သုံးစွဲသူတစ်ဦးစီနှင့် အတူ ဆာဗာသို့ ပထမဆုံး လော့ဂ်အင်လုပ်ပါ။19

• 6.1%ဟုတ်ပါတယ်၊ ငါအရာအားလုံးကိုအစဉ်လိုက်ကြိုက်တယ်။၄

• 21.5%ကျွန်ုပ်သည် Terminal ဆာဗာများကို မသုံးပါ။14

အသုံးပြုသူ 65 ဦး မဲပေးခဲ့သည်။ အသုံးပြုသူ 14 ရှောင်နေခဲ့ပါတယ်။

source: www.habr.com