گهڻو وقت اڳ اسان ونڊوز ٽرمينل سرور تي هڪ حل لاڳو ڪيو. هميشه وانگر، انهن ملازمن جي ڊيسڪ ٽاپ سان ڳنڍڻ لاء شارٽ ڪٽ اڇلائي، ۽ چيو - ڪم. پر صارفين سائبر سيڪيورٽي جي لحاظ کان ڊڄي ويا. ۽ جڏهن سرور سان ڳنڍڻ، پيغام ڏسڻ جهڙوڪ: "ڇا توهان هن سرور تي ڀروسو ڪريو ٿا؟ بلڪل، بلڪل؟”، اهي ڊڄي ويا ۽ اسان ڏانهن رخ ڪيو- پر سڀ ڪجهه ٺيڪ آهي، ڇا مان ٺيڪ تي ڪلڪ ڪري سگهان ٿو؟ پوءِ اهو فيصلو ڪيو ويو ته هر شي کي خوبصورتي سان ڪيو وڃي، ته جيئن ڪو به سوال يا خوف پيدا نه ٿئي.

جيڪڏهن توهان جا صارف اڃا تائين توهان وٽ ساڳيا خوفن سان ايندا آهن، ۽ توهان "ٻيهر نه پڇو" باڪس کي چيڪ ڪندي ٿڪجي پيا آهيو، ٻلي ۾ ڀليڪار.

قدم صفر. تياري ۽ اعتماد جا مسئلا

تنهن ڪري، اسان جو صارف محفوظ ڪيل فائل تي .rdp ايڪسٽينشن سان ڪلڪ ڪري ٿو ۽ هيٺ ڏنل درخواست وصول ڪري ٿو:

"بدڪاري" ڪنيڪشن.

هن ونڊو مان نجات حاصل ڪرڻ لاء، هڪ خاص افاديت سڏيو ويندو آهي RDPSign.exe. مڪمل دستاويز دستياب آهي، هميشه وانگر، تي سرڪاري ويب سائيٽ، ۽ اسان استعمال جو هڪ مثال تجزيو ڪنداسين.

پهرين، اسان کي فائل تي دستخط ڪرڻ لاء هڪ سرٽيفڪيٽ وٺڻ جي ضرورت آهي. اھو ٿي سگھي ٿو:

• عوامي.
• اندروني سرٽيفڪيٽ اٿارٽي پاران جاري ڪيل.
• مڪمل طور تي خود دستخط ٿيل.

سڀ کان اهم شيء اها آهي ته سرٽيفڪيٽ کي دستخط ڪرڻ جي صلاحيت آهي (ها، توهان ڪري سگهو ٿا
EDS اڪائونٽنٽ)، ۽ ڪلائنٽ پي سيز مٿس ڀروسو ڪيو. هتي مان هڪ خود دستخط ٿيل سرٽيفڪيٽ استعمال ڪندس.

مان توهان کي ياد ڏياران ٿو ته هڪ خود دستخط ٿيل سرٽيفڪيٽ تي اعتماد گروپ پاليسين کي استعمال ڪندي منظم ڪري سگهجي ٿو. ٿورڙو وڌيڪ تفصيل spoiler هيٺ آهن.

GPO جي جادو کي استعمال ڪندي قابل اعتماد سرٽيفڪيٽ ڪيئن ٺاهيو

پهرين، توهان کي گهرجي ته موجوده سرٽيفڪيٽ کي پرائيويٽ ڪنجي کان سواءِ .cer فارميٽ ۾ وٺو (اهو سرٽيفڪيٽ سنيپ-ان مان سرٽيفڪيٽ برآمد ڪري ڪري سگهجي ٿو) ۽ ان کي نيٽ ورڪ فولڊر ۾ وجھو جيڪو استعمال ڪندڙ پڙهي سگھن ٿا. ان کان پوء، توهان گروپ پاليسي ترتيب ڏئي سگهو ٿا.

سرٽيفڪيٽ درآمد سيڪشن ۾ ترتيب ڏنل آهي: ڪمپيوٽر جي ترتيب - پاليسيون - ونڊوز ڪنفيگريشن - سيڪيورٽي سيٽنگون - پبلڪ ڪيئي پاليسيون - معتبر روٽ سرٽيفڪيشن اختيارين. اڳيون، صحيح ڪلڪ ڪريو سند درآمد ڪرڻ لاءِ.

ترتيب ڏنل پاليسي.

ڪلائنٽ پي سيز هاڻي خود دستخط ٿيل سرٽيفڪيٽ تي ڀروسو ڪندا.

جيڪڏهن اعتماد جا مسئلا حل ٿي ويا آهن، اسان سڌو سنئون دستخط جي مسئلي ڏانهن وڃو.

قدم هڪ. صاف صاف فائل تي دستخط ڪرڻ

اتي هڪ سرٽيفڪيٽ آهي، هاڻي توهان کي ان جي فنگر پرنٽ ڳولڻ جي ضرورت آهي. بس ان کي کوليو "سرٽيفڪيٽ" سنيپ ان ۾ ۽ ان کي نقل ڪريو "ڪمپوزيشن" ٽئب تي.

اسان کي نشان جي ضرورت آهي.

اهو بهتر آهي ته ان کي فوري طور تي صحيح شڪل ۾ آڻيو - صرف وڏيون اکر ۽ ڪابه جاء نه، جيڪڏهن ڪو به هجي. اهو آساني سان PowerShell ڪنسول ۾ حڪم سان ڪري سگهجي ٿو:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

گهربل فارميٽ ۾ پرنٽ حاصل ڪرڻ بعد، توهان محفوظ طور تي rdp فائل تي دستخط ڪري سگهو ٿا:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

جتي .contoso.rdp اسان جي فائل جو مطلق يا لاڳاپو رستو آهي.

هڪ دفعو فائل سائن ٿيڻ بعد، اهو هاڻي ممڪن نه ٿيندو ته گرافڪ انٽرفيس ذريعي ڪجهه پيرا ميٽرز کي تبديل ڪرڻ، جهڙوڪ سرور جو نالو (واقعي، ٻي صورت ۾ سائن ان ڪرڻ جو ڪهڙو مطلب آهي؟) ۽ جيڪڏهن توهان ٽيڪسٽ ايڊيٽر سان سيٽنگون تبديل ڪندا، دستخط "پري ٿو".

ھاڻي، جڏھن توھان ليبل تي ڊبل ڪلڪ ڪندا، پيغام مختلف ھوندو:

هڪ نئون پيغام. رنگ گهٽ خطرناڪ آهي، اڳ ۾ ئي ترقي.

اچو ته هن کان به نجات حاصل ڪريون.

قدم ٻه. ۽ ٻيهر اعتماد جا سوال

هن پيغام کان نجات حاصل ڪرڻ لاء، اسان کي ٻيهر هڪ گروپ پاليسي جي ضرورت آهي. هن ڀيري روڊ سيڪشن ۾ آهي ڪمپيوٽر ڪنفيگريشن - پاليسيون - انتظامي ٽيمپليٽس - ونڊوز اجزاء - ريموٽ ڊيسڪ ٽاپ سروسز - ريموٽ ڊيسڪ ٽاپ ڪنيڪشن ڪلائنٽ - SHA1 فنگر پرنٽس جي وضاحت ڪريو سرٽيفڪيٽن جي قابل اعتماد RDP پبلشرز جي نمائندگي ڪن ٿا.

پاليسي جنهن جي اسان کي ضرورت آهي.

سياست ۾، فنگر پرنٽ شامل ڪرڻ ڪافي آهي، جيڪو اڳئين قدم کان اسان کي واقف آهي.

اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته اها پاليسي صحيح پبلشرز کان آر ڊي پي فائلن کي اجازت ڏيو ۽ ڊفالٽ ڪسٽم RDP سيٽنگون پاليسي کي ختم ڪري ٿي.

ترتيب ڏنل پاليسي.

Voila، هاڻي ڪو به عجيب سوال نه آهي - صرف هڪ لاگ ان-پاسورڊ جي درخواست. هيم…

ٽيون قدم. سرور ڏانهن شفاف لاگ ان

درحقيقت، جيڪڏهن اسان ڊومين ڪمپيوٽر ۾ لاگ ان ٿيڻ وقت اڳ ۾ ئي لاگ ان ٿي چڪا آهيون، ته پوء اسان کي ساڳيو لاگ ان ۽ پاسورڊ ٻيهر داخل ڪرڻ جي ضرورت آهي؟ اچو ته سندون سرور ڏانهن منتقل ڪريون ”شفافيءَ سان“. سادي RDP جي صورت ۾ (آر ڊي ايس گيٽ وي استعمال ڪرڻ کان سواء)، ... اهو صحيح آهي، گروپ پاليسي اسان جي مدد لاء ايندي.

سيڪشن ڏانھن وڃو: ڪمپيوٽر جي ٺاھ جوڙ - پاليسين - انتظامي ٽيمپليٽس - سسٽم - سند جي منتقلي - ڊفالٽ سندن جي منتقلي جي اجازت ڏيو.

هتي توهان فهرست ۾ گهربل سرور شامل ڪري سگهو ٿا يا وائلڊ ڪارڊ استعمال ڪري سگهو ٿا. اهو نظر ايندو TERMSRV/trm.contoso.com يا TERMSRV/*.contoso.com.

ترتيب ڏنل پاليسي.

هاڻي، جيڪڏهن اسان پنهنجي ليبل کي ڏسو، اهو ڪجهه هن طرح نظر ايندو:

استعمال ڪندڙ جو نالو تبديل نه ڪريو.

جيڪڏهن توهان RDS گيٽ وي استعمال ڪندا آهيو، توهان کي ان تي ڊيٽا جي منتقلي کي به فعال ڪرڻو پوندو. هن کي ڪرڻ لاء، IIS مئنيجر ۾، "تصديق جي طريقن" ۾ توهان کي گمنام تصديق کي بند ڪرڻ ۽ ونڊوز جي تصديق کي فعال ڪرڻ جي ضرورت آهي.

IIS ترتيب ڏنل.

حڪم سان ويب خدمتن کي ٻيهر شروع ڪرڻ نه وساريو:

iisreset /noforce

هاڻي سڀ ڪجهه ٺيڪ آهي، نه سوال ۽ درخواستون.

صرف رجسٽرڊ استعمال ڪندڙ سروي ۾ حصو وٺي سگهن ٿا. سائن ان ڪريو، توهان جي مهرباني.

مون کي ٻڌايو، ڇا توھان پنھنجي استعمال ڪندڙن لاءِ آر ڊي پي ليبل سائن ڪيو ٿا؟

• 43٪نه، اهي انهن کي پڙهڻ کان سواءِ پيغامن ۾ ”ٺيڪ“ تي ڪلڪ ڪرڻ جا عادي آهن، ڪجهه ته باڪس پاڻ کي چيڪ ڪن ٿا ته ”ٻيهر نه پڇو“ 28.

• 29.2٪مون احتياط سان ليبل کي پنهنجن هٿن سان لڳايو ۽ هر يوزر سان گڏ سرور تي پهريون لاگ ان ڪيو.19

• 6.1٪يقينا، مون کي هر شيء ۾ نظم پسند آهي.4

• 21.5٪مان ٽرمينل سرور استعمال نٿو ڪريان.14

65 صارفين ووٽ ڏنو. 14 استعمال ڪندڙن کي روڪيو ويو.

جو ذريعو: www.habr.com