Há pouco tempo implementamos uma solução em um servidor de terminal Windows. Como sempre, eles jogaram atalhos de conexão nas mesas dos funcionários e mandaram-nos trabalhar. Mas os usuários acabaram intimidados em termos de segurança cibernética. E ao se conectar ao servidor, vendo mensagens como: “Você confia neste servidor? Exatamente?”, eles se assustaram e se viraram para nós - está tudo bem, podemos clicar em OK? Decidiu-se então fazer tudo lindamente, para que não houvesse dúvidas ou pânico.
Se seus usuários ainda chegam até você com medos semelhantes e você está cansado de marcar a caixa “Não perguntar novamente”, bem-vindo ao gato.
Passo zero. Questões de preparação e confiança
Assim, nosso usuário clica no arquivo salvo com extensão .rdp e recebe a seguinte solicitação:
Conexão "maliciosa".
Para se livrar desta janela, use um utilitário especial chamado RDP Sign.exe. A documentação completa está disponível, como sempre, em
Primeiro, precisamos levar um certificado para assinar o arquivo. Ele pode ser:
- Público.
- Emitido pelo serviço interno da Autoridade de Certificação.
- Totalmente autoassinado.
O mais importante é que o certificado possa ser assinado (sim, você pode selecionar
os contadores têm assinaturas digitais) e os PCs dos clientes confiavam nele. Aqui usarei um certificado autoassinado.
Deixe-me lembrá-lo de que a confiança em um certificado autoassinado pode ser organizada por meio de políticas de grupo. Um pouco mais de detalhes estão abaixo do spoiler.
Como tornar um certificado confiável usando a magia do GPO
Primeiro, você precisa pegar o certificado existente sem a chave privada no formato .cer (isso pode ser feito exportando o certificado do snap-in Certificados) e colocá-lo em uma pasta de rede que os usuários possam ler. Depois disso, você pode configurar a Política de Grupo.
A importação de certificados é configurada na seção: Configuração do Computador - Políticas - Configuração do Windows - Configurações de Segurança - Políticas de Chave Pública - Autoridades de Certificação Raiz Confiáveis. Em seguida, clique com o botão direito para importar o certificado.
Política configurada.
Os PCs clientes agora confiarão no certificado autoassinado.
Se os problemas de confiança forem resolvidos, passamos diretamente para a questão da assinatura.
Passo um. Assinamos o arquivo de forma abrangente
Existe um certificado, agora você precisa descobrir sua impressão digital. Basta abri-lo no snap-in “Certificados” e copiá-lo para a aba “Composição”.
A impressão digital que precisamos.
É melhor colocá-lo imediatamente na forma adequada - apenas letras maiúsculas e sem espaços, se houver. Isso pode ser feito convenientemente no console do PowerShell com o comando:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Depois de receber a impressão digital no formato exigido, você pode assinar o arquivo rdp com segurança:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Onde .contoso.rdp é o caminho absoluto ou relativo para nosso arquivo.
Uma vez assinado o arquivo, não será mais possível alterar alguns parâmetros através da interface gráfica, como o nome do servidor (sério, senão qual o sentido de assinar?) E se você alterar as configurações com um editor de texto, a assinatura “voa”.
Agora, ao clicar duas vezes no atalho, a mensagem será diferente:
Uma nova mensagem. A cor é menos perigosa, já progride.
Vamos nos livrar dele também.
Passo dois. E novamente questões de confiança
Para nos livrarmos desta mensagem, precisaremos da Política de Grupo novamente. Desta vez, o caminho está na seção Configuração do Computador - Políticas - Modelos Administrativos - Componentes do Windows - Serviços de Área de Trabalho Remota - Cliente de Conexão de Área de Trabalho Remota - Especifique impressões digitais SHA1 de certificados que representam editores RDP confiáveis.
A política que precisamos.
Na política, basta acrescentar a impressão digital que já nos é familiar na etapa anterior.
É importante notar que esta política substitui a política Permitir arquivos RDP de editores válidos e configurações RDP personalizadas padrão.
Política configurada.
Voila, agora sem perguntas estranhas - apenas uma solicitação de login e senha. Hum…
Passo três. Login transparente no servidor
Na verdade, se já fizemos login ao fazer login em um computador de domínio, por que precisamos inserir novamente o mesmo login e senha? Vamos transferir as credenciais para o servidor “de forma transparente”. No caso do RDP simples (sem usar o RDS Gateway), ... Isso mesmo, a política de grupo virá em nosso auxílio.
Vá para a seção: Configuração do Computador - Políticas - Modelos Administrativos - Sistema - Transferência de Credenciais - Permitir Transferência de Credenciais Padrão.
Aqui você pode adicionar os servidores necessários à lista ou usar um curinga. Vai parecer TERMSRV/trm.contoso.com ou TERMOSSRV/*.contoso.com.
Política configurada.
Agora, se você olhar para o nosso rótulo, será mais ou menos assim:
O nome de usuário não pode ser alterado.
Se você usar o RDS Gateway, também precisará habilitar a transferência de dados nele. Para fazer isso, no Gerenciador IIS, em “Métodos de autenticação” você precisa desabilitar a verificação anônima e habilitar a autenticação do Windows.
IIS configurado.
Não se esqueça de reiniciar os serviços web quando terminar o comando:
iisreset /noforce
Agora está tudo bem, sem perguntas ou dúvidas.
Apenas usuários registrados podem participar da pesquisa.
Diga-me, você assina rótulos RDP para seus usuários?
-
43%Não, eles estão acostumados a clicar em “OK” nas mensagens sem lê-las, alguns até marcam eles próprios as caixas para “Não perguntar novamente.”28
-
29.2%Coloco cuidadosamente a etiqueta com as mãos e faço o primeiro login no servidor junto com cada usuário.19
-
6.1%Claro, adoro ordem em tudo.4
-
21.5%Eu não uso servidores de terminal.14
65 usuários votaram. 14 usuários se abstiveram.
Fonte: habr.com