Nog niet zo lang geleden hebben we een oplossing geïmplementeerd op een Windows-terminalserver. Zoals gewoonlijk gooiden ze snelkoppelingen om verbinding te maken met de desktops van werknemers, en zeiden: werk. Maar gebruikers bleken geïntimideerd door Cybersecurity. En wanneer u verbinding maakt met de server, ziet u berichten als: “Vertrouwt u deze server? Precies, precies?'', Ze werden bang en wendden zich tot ons - maar is alles in orde, kan ik op OK klikken? Toen werd besloten om alles mooi te doen, zodat er geen vragen of paniek zouden ontstaan.
Als uw gebruikers nog steeds met soortgelijke angsten naar u toe komen, en u het beu bent om 'Niet nog een keer vragen' aan te vinken, welkom onder cat.
Nul stap. Opleidings- en vertrouwensproblemen
Onze gebruiker klikt dus op het opgeslagen bestand met de .rdp-extensie en ontvangt het volgende verzoek:
Schadelijke verbinding.
Om van dit venster af te komen, gebruikt u een speciaal hulpprogramma genaamd RDPSign.exe. Volledige documentatie is, zoals gebruikelijk, beschikbaar op , en we zullen een gebruiksvoorbeeld analyseren.
Eerst moeten we een certificaat nemen om het bestand te ondertekenen. Hij kan zijn:
- Openbaar.
- Uitgegeven door een interne certificeringsinstantie.
- Volledig zelfondertekend.
Het belangrijkste is dat het certificaat de mogelijkheid heeft om te ondertekenen (ja, u kunt selecteren
EDS-accountants) en client-pc's vertrouwden hem. Hier zal ik een zelfondertekend certificaat gebruiken.
Ik wil u eraan herinneren dat het vertrouwen in een zelfondertekend certificaat kan worden georganiseerd met behulp van groepsbeleid. Iets meer details - onder de spoiler.
Hoe u een certificaat kunt maken dat vertrouwd is met de magie van GPO
Eerst moet u een bestaand certificaat zonder privésleutel in .cer-formaat nemen (dit kunt u doen door het certificaat te exporteren vanuit de module Certificaten) en dit in een netwerkmap plaatsen die voor gebruikers toegankelijk is om te lezen. Daarna kunt u Groepsbeleid configureren.
Het importeren van een certificaat wordt geconfigureerd in de sectie: Computerconfiguratie - Beleid - Windows-configuratie - Beveiligingsinstellingen - Beleid voor openbare sleutels - Vertrouwde basiscertificeringsinstanties. Klik vervolgens met de rechtermuisknop om het certificaat te importeren.
Het geconfigureerde beleid.
De client-pc's vertrouwen nu het zelfondertekende certificaat.
Als de vertrouwensproblemen zijn opgelost, gaan we direct naar het handtekeningprobleem.
Stap een. Onderteken het bestand grondig
Er is een certificaat, nu moet je de vingerafdruk achterhalen. Open het gewoon in de module "Certificaten" en kopieer het naar het tabblad "Samenstelling".
We hebben een afdruk nodig.
Het is beter om het onmiddellijk in de juiste vorm te brengen - alleen hoofdletters en eventuele spaties. Het is handig om dit in de PowerShell-console te doen met het commando:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Nadat u een afdruk in het gewenste formaat heeft ontvangen, kunt u het rdp-bestand veilig ondertekenen:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Waar .contoso.rdp het absolute of relatieve pad naar ons bestand is.
Nadat het bestand is ondertekend, is het niet langer mogelijk om sommige parameters via de grafische interface te wijzigen, zoals de servernaam (echt, wat heeft het anders voor zin om te ondertekenen?) En als je de instellingen wijzigt met een teksteditor, dan "vliegt" de handtekening.
Wanneer u nu dubbelklikt op het label, zal het bericht anders zijn:
Een nieuw bericht. De kleur is minder gevaarlijk, al vooruitgang.
Laten we hem ook wegdoen.
Stap twee. En opnieuw vertrouwensvragen
Om van dit bericht af te komen, hebben we opnieuw een groepsbeleid nodig. Deze keer ligt de weg in de sectie Computerconfiguratie - Beleid - Beheersjablonen - Windows-componenten - Remote Desktop Services - Remote Desktop Connection Client - Specificeer SHA1-vingerafdrukken van certificaten die vertrouwde RDP-uitgevers vertegenwoordigen.
We hebben beleid nodig.
In het beleid volstaat het om de afdruk toe te voegen die ons al bekend was uit de vorige stap.
Het is vermeldenswaard dat dit beleid het beleid 'RDP-bestanden van geldige uitgevers en aangepaste standaard RDP-instellingen toestaan' overschrijft.
Het geconfigureerde beleid.
Voila, nu geen vreemde vragen - alleen een login-wachtwoordverzoek. Hm...
Stap drie. Transparant inloggen op de server
Als we al zijn ingelogd op de domeincomputer, waarom moeten we dan dezelfde login en hetzelfde wachtwoord opnieuw invoeren? Laten we de inloggegevens "transparant" aan de server doorgeven. In het geval van eenvoudige RDP (zonder RDS Gateway te gebruiken) komen we te hulp ... Dat klopt, groepsbeleid.
We gaan naar de sectie: Computerconfiguratie - Beleid - Beheersjablonen - Systeem - Inloggegevens doorgeven - De overdracht van standaardreferenties toestaan.
Hier kunt u de benodigde servers aan de lijst toevoegen of een wildcard gebruiken. Het zal er zo uitzien TERMSRV/trm.contoso.com of VOORWAARDEN/*.contoso.com.
Het geconfigureerde beleid.
Als we nu naar ons label kijken, ziet het er ongeveer zo uit:
Wijzig de gebruikersnaam niet.
Als RDS Gateway wordt gebruikt, moet u ook gegevensoverdracht daarop toestaan. Om dit te doen, moet u in IIS-beheer anonieme authenticatie uitschakelen in de "Authenticatiemethoden" en Windows-authenticatie inschakelen.
geconfigureerde IIS.
Vergeet niet de webservices opnieuw op te starten met het commando:
iisreset /noforce
Nu is alles in orde, geen vragen en verzoeken.
Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. , Alsjeblieft.
Vertel eens: ondertekent u RDP-labels voor uw gebruikers?
-
43%Nee, ze zijn getraind om in berichten op ‘OK’ te drukken zonder ze te lezen; sommigen zetten zelf zelfs ‘Niet meer vragen’-aanvinkvakjes aan.28
-
29.2%Ik plaats het label zorgvuldig met mijn handen en log samen met elke gebruiker voor de eerste keer in op de server.19
-
6.1%Natuurlijk hou ik ervan dat alles in orde is.4
-
21.5%Ik gebruik geen terminalservers.14
65 gebruikers hebben gestemd. 14 gebruikers onthielden zich van stemming.
Bron: www.habr.com