For ikke så lenge siden implementerte vi en løsning på en Windows-terminalserver. Som vanlig kastet de snarveier for å koble til skrivebordet til ansatte, og sa - arbeid. Men brukere viste seg å bli skremt av Cybersecurity. Og når du kobler til serveren, ser du meldinger som: "Stoler du på denne serveren? Akkurat, akkurat?”, De ble redde og snudde seg til oss - men er alt i orden, kan jeg klikke på OK? Så ble det bestemt å gjøre alt vakkert, slik at det ikke skulle være spørsmål eller panikk.

Hvis brukerne dine fortsatt kommer til deg med lignende frykt, og du er lei av å krysse av "Ikke spør igjen" - velkommen under katt.

Null trinn. Opplærings- og tillitsproblemer

Så brukeren vår klikker på den lagrede filen med .rdp-utvidelsen og mottar følgende forespørsel:

Ondsinnet tilkobling.

For å bli kvitt dette vinduet, bruk et spesielt verktøy kalt RDPSign.exe. Full dokumentasjon er som vanlig tilgjengelig på offisiell nettside, og vi vil analysere et eksempel på bruk.

Først må vi ta et sertifikat for å signere filen. Han kan være:

• Offentlig.
• Utstedt av en intern sertifiseringsinstans.
• Helt selvsignert.

Det viktigste er at sertifikatet har mulighet til å signere (ja, du kan velge
EDS-regnskapsførere), og klient-PC-er stolte på ham. Her skal jeg bruke et selvsignert sertifikat.

La meg minne deg på at tillit til et selvsignert sertifikat kan organiseres ved hjelp av gruppepolicyer. Litt flere detaljer - under spoileren.

Hvordan lage et sertifikat klarert med magien til GPO

Først må du ta et eksisterende sertifikat uten privat nøkkel i .cer-format (dette kan gjøres ved å eksportere sertifikatet fra Sertifikater-snap-in) og legge det i en nettverksmappe som er tilgjengelig for brukere for lesing. Etter det kan du konfigurere gruppepolicy.

Import av et sertifikat konfigureres i seksjonen: Datamaskinkonfigurasjon - Politikker - Windows-konfigurasjon - Sikkerhetsinnstillinger - Politikker for offentlig nøkkel - Klarerte rotsertifiseringsinstanser. Deretter høyreklikker du for å importere sertifikatet.

Den konfigurerte policyen.

Klient-PC-ene vil nå stole på det selvsignerte sertifikatet.

Hvis tillitsproblemene er løst, går vi direkte til signaturspørsmålet.

Steg en. Signerer filen feiende

Det er et sertifikat, nå må du finne ut fingeravtrykket. Bare åpne den i snapin-modulen "Sertifikater" og kopier den til fanen "Komposisjon".

Vi trenger et avtrykk.

Det er bedre å umiddelbart bringe det til riktig form - bare store bokstaver og uten mellomrom, hvis noen. Det er praktisk å gjøre dette i PowerShell-konsollen med kommandoen:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Etter å ha mottatt en utskrift i ønsket format, kan du trygt signere rdp-filen:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Der .contoso.rdp er den absolutte eller relative banen til filen vår.

Etter at filen er signert, vil det ikke lenger være mulig å endre noen av parameterne gjennom det grafiske grensesnittet, for eksempel servernavnet (egentlig, hva er ellers vitsen med å signere?) Og hvis du endrer innstillingene med en tekstredigerer, så "flyr" signaturen.

Nå, når du dobbeltklikker på etiketten, vil meldingen være annerledes:

En ny melding. Fargen er mindre farlig, allerede fremgang.

La oss bli kvitt ham også.

Trinn to. Og igjen spørsmål om tillit

For å bli kvitt denne meldingen trenger vi igjen en gruppepolicy. Denne gangen ligger veien i seksjonen Datamaskinkonfigurasjon - Retningslinjer - Administrative maler - Windows-komponenter - Eksternt skrivebordstjenester - Tilkoblingsklient til eksternt skrivebord - Spesifiser SHA1-fingeravtrykk for sertifikater som representerer pålitelige RDP-utgivere.

Vi trenger en politikk.

I policyen er det nok å legge til avtrykket som allerede er kjent for oss fra forrige trinn.

Det er verdt å merke seg at denne policyen overstyrer policyen "Tillat RDP-filer fra gyldige utgivere og egendefinerte standard RDP-innstillinger".

Den konfigurerte policyen.

Voila, nå ingen rare spørsmål - bare en forespørsel om påloggingspassord. Hm…

Trinn tre. Transparent innlogging til serveren

Faktisk, hvis vi allerede har logget på domenedatamaskinen, hvorfor trenger vi da å angi samme pålogging og passord på nytt? La oss sende legitimasjonen til serveren "gjennomsiktig". I tilfellet med enkel RDP (uten å bruke RDS Gateway), vil vi komme til unnsetning ... Det stemmer, gruppepolicy.

Vi går til delen: Datamaskinkonfigurasjon - Retningslinjer - Administrative maler - System - Sende legitimasjon - Tillat overføring av standardlegitimasjon.

Her kan du legge til de nødvendige serverne i listen eller bruke et jokertegn. Det vil se ut som TERMSRV/trm.contoso.com eller VILKÅR/*.contoso.com.

Den konfigurerte policyen.

Nå, hvis vi ser på etiketten vår, vil den se omtrent slik ut:

Ikke endre brukernavnet.

Hvis RDS Gateway brukes, må du også tillate dataoverføring på den. For å gjøre dette, i IIS-behandleren, må du deaktivere anonym autentisering i "Autentiseringsmetoder" og aktivere Windows-autentisering.

konfigurert IIS.

Ikke glem å starte nettjenestene på nytt med kommandoen:

iisreset /noforce

Nå er alt bra, ingen spørsmål og forespørsler.

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Si meg, signerer du RDP-etiketter for brukerne dine?

• 43%Nei, de er opplært til å trykke "OK" i meldinger uten å lese, noen setter til og med "Ikke spør igjen" avkrysningsbokser selv.28

• 29.2%Jeg legger forsiktig etiketten med hendene og gjør den første påloggingen til serveren sammen med hver bruker.19

• 6.1%Selvfølgelig liker jeg alt i orden.4

• 21.5%Jeg bruker ikke terminalservere.14

65 brukere stemte. 14 brukere avsto.

Kilde: www.habr.com