Há pouco tempo implementamos uma solução em um servidor de terminal Windows. Como sempre, eles jogaram atalhos de conexão nas mesas dos funcionários e mandaram-nos trabalhar. Mas os usuários acabaram intimidados em termos de segurança cibernética. E ao se conectar ao servidor, vendo mensagens como: “Você confia neste servidor? Exatamente?”, eles se assustaram e se viraram para nós - está tudo bem, podemos clicar em OK? Decidiu-se então fazer tudo lindamente, para que não houvesse dúvidas ou pânico.

Se seus usuários ainda chegam até você com medos semelhantes e você está cansado de marcar a caixa “Não perguntar novamente”, bem-vindo ao gato.

Passo zero. Questões de preparação e confiança

Assim, nosso usuário clica no arquivo salvo com extensão .rdp e recebe a seguinte solicitação:

Conexão "maliciosa".

Para se livrar desta janela, use um utilitário especial chamado RDP Sign.exe. A documentação completa está disponível, como sempre, em o site oficial, e veremos um exemplo de uso.

Primeiro, precisamos levar um certificado para assinar o arquivo. Ele pode ser:

• Público.
• Emitido pelo serviço interno da Autoridade de Certificação.
• Totalmente autoassinado.

O mais importante é que o certificado possa ser assinado (sim, você pode selecionar
os contadores têm assinaturas digitais) e os PCs dos clientes confiavam nele. Aqui usarei um certificado autoassinado.

Deixe-me lembrá-lo de que a confiança em um certificado autoassinado pode ser organizada por meio de políticas de grupo. Um pouco mais de detalhes estão abaixo do spoiler.

Como tornar um certificado confiável usando a magia do GPO

Primeiro, você precisa pegar o certificado existente sem a chave privada no formato .cer (isso pode ser feito exportando o certificado do snap-in Certificados) e colocá-lo em uma pasta de rede que os usuários possam ler. Depois disso, você pode configurar a Política de Grupo.

A importação de certificados é configurada na seção: Configuração do Computador - Políticas - Configuração do Windows - Configurações de Segurança - Políticas de Chave Pública - Autoridades de Certificação Raiz Confiáveis. Em seguida, clique com o botão direito para importar o certificado.

Política configurada.

Os PCs clientes agora confiarão no certificado autoassinado.

Se os problemas de confiança forem resolvidos, passamos diretamente para a questão da assinatura.

Passo um. Assinamos o arquivo de forma abrangente

Existe um certificado, agora você precisa descobrir sua impressão digital. Basta abri-lo no snap-in “Certificados” e copiá-lo para a aba “Composição”.

A impressão digital que precisamos.

É melhor colocá-lo imediatamente na forma adequada - apenas letras maiúsculas e sem espaços, se houver. Isso pode ser feito convenientemente no console do PowerShell com o comando:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Depois de receber a impressão digital no formato exigido, você pode assinar o arquivo rdp com segurança:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Onde .contoso.rdp é o caminho absoluto ou relativo para nosso arquivo.

Uma vez assinado o arquivo, não será mais possível alterar alguns parâmetros através da interface gráfica, como o nome do servidor (sério, senão qual o sentido de assinar?) E se você alterar as configurações com um editor de texto, a assinatura “voa”.

Agora, ao clicar duas vezes no atalho, a mensagem será diferente:

Uma nova mensagem. A cor é menos perigosa, já progride.

Vamos nos livrar dele também.

Passo dois. E novamente questões de confiança

Para nos livrarmos desta mensagem, precisaremos da Política de Grupo novamente. Desta vez, o caminho está na seção Configuração do Computador - Políticas - Modelos Administrativos - Componentes do Windows - Serviços de Área de Trabalho Remota - Cliente de Conexão de Área de Trabalho Remota - Especifique impressões digitais SHA1 de certificados que representam editores RDP confiáveis.

A política que precisamos.

Na política, basta acrescentar a impressão digital que já nos é familiar na etapa anterior.

É importante notar que esta política substitui a política Permitir arquivos RDP de editores válidos e configurações RDP personalizadas padrão.

Política configurada.

Voila, agora sem perguntas estranhas - apenas uma solicitação de login e senha. Hum…

Passo três. Login transparente no servidor

Na verdade, se já fizemos login ao fazer login em um computador de domínio, por que precisamos inserir novamente o mesmo login e senha? Vamos transferir as credenciais para o servidor “de forma transparente”. No caso do RDP simples (sem usar o RDS Gateway), ... Isso mesmo, a política de grupo virá em nosso auxílio.

Vá para a seção: Configuração do Computador - Políticas - Modelos Administrativos - Sistema - Transferência de Credenciais - Permitir Transferência de Credenciais Padrão.

Aqui você pode adicionar os servidores necessários à lista ou usar um curinga. Vai parecer TERMSRV/trm.contoso.com ou TERMOSSRV/*.contoso.com.

Política configurada.

Agora, se você olhar para o nosso rótulo, será mais ou menos assim:

O nome de usuário não pode ser alterado.

Se você usar o RDS Gateway, também precisará habilitar a transferência de dados nele. Para fazer isso, no Gerenciador IIS, em “Métodos de autenticação” você precisa desabilitar a verificação anônima e habilitar a autenticação do Windows.

IIS configurado.

Não se esqueça de reiniciar os serviços web quando terminar o comando:

iisreset /noforce

Agora está tudo bem, sem perguntas ou dúvidas.

Apenas usuários registrados podem participar da pesquisa. Entrarpor favor

Diga-me, você assina rótulos RDP para seus usuários?

• 43%Não, eles estão acostumados a clicar em “OK” nas mensagens sem lê-las, alguns até marcam eles próprios as caixas para “Não perguntar novamente.”28

• 29.2%Coloco cuidadosamente a etiqueta com as mãos e faço o primeiro login no servidor junto com cada usuário.19

• 6.1%Claro, adoro ordem em tudo.4

• 21.5%Eu não uso servidores de terminal.14

65 usuários votaram. 14 usuários se abstiveram.

Fonte: habr.com