Nie je to tak dávno, čo sme implementovali riešenie na Windows terminálovom serveri. Ako obvykle hodili na stoly zamestnancov skratky pripojenia a povedali im, aby pracovali. Ukázalo sa však, že používatelia boli z hľadiska kybernetickej bezpečnosti vystrašení. A pri pripájaní k serveru sa zobrazujú správy ako: „Dôverujete tomuto serveru? Presne tak?“, zľakli sa a obrátili sa na nás – je všetko v poriadku, môžeme kliknúť na OK? Potom sa rozhodlo urobiť všetko krásne, aby nevznikli žiadne otázky ani panika.

Ak k vám vaši používatelia stále prichádzajú s podobnými obavami a už vás nebaví zaškrtávať políčko „Už sa nepýtať“, vitajte medzi mačkou.

Krok nula. Problémy s prípravou a dôverou

Náš používateľ teda klikne na uložený súbor s príponou .rdp a dostane nasledujúcu požiadavku:

„Škodlivé“ spojenie.

Ak sa chcete tohto okna zbaviť, použite špeciálny nástroj s názvom RDPSign.exe. Úplná dokumentácia je ako obvykle k dispozícii na adrese oficiálne internetové stránky, a pozrieme sa na príklad použitia.

Najprv si musíme vziať certifikát na podpísanie súboru. Môže byť:

• Verejné.
• Vydané internou službou certifikačnej autority.
• Úplne vlastnoručne podpísaný.

Najdôležitejšie je, že certifikát má možnosť podpisu (áno, môžete si vybrať
účtovníci majú digitálne podpisy) a klientske počítače mu dôverovali. Tu použijem certifikát s vlastným podpisom.

Dovoľte mi pripomenúť, že dôvera v certifikát s vlastným podpisom môže byť organizovaná pomocou skupinových zásad. Trochu viac detailov je pod spojlerom.

Ako urobiť certifikát dôveryhodným pomocou kúzla GPO

Najprv musíte zobrať existujúci certifikát bez súkromného kľúča vo formáte .cer (môžete to urobiť exportovaním certifikátu z modulu Certifikáty) a vložiť ho do sieťového priečinka, ktorý si môžu používatelia prečítať. Potom môžete nakonfigurovať skupinovú politiku.

Import certifikátov sa konfiguruje v časti: Konfigurácia počítača - Zásady - Konfigurácia systému Windows - Nastavenia zabezpečenia - Zásady verejného kľúča - Dôveryhodné koreňové certifikačné autority. Potom kliknutím pravým tlačidlom myši importujte certifikát.

Konfigurovaná politika.

Klientske počítače budú teraz dôverovať certifikátu s vlastným podpisom.

Ak sú problémy s dôverou vyriešené, prejdeme priamo k problému s podpismi.

Krok jedna. Súbor podpisujeme rozvážnym spôsobom

Existuje certifikát, teraz musíte zistiť jeho odtlačok prsta. Stačí ho otvoriť v module „Certifikáty“ a skopírovať na kartu „Zloženie“.

Odtlačok prsta, ktorý potrebujeme.

Je lepšie ho okamžite uviesť do správnej formy - iba veľké písmená a žiadne medzery, ak nejaké existujú. Dá sa to pohodlne vykonať v konzole PowerShell príkazom:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Po prijatí odtlačku prsta v požadovanom formáte môžete bezpečne podpísať súbor rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Kde .contoso.rdp je absolútna alebo relatívna cesta k nášmu súboru.

Po podpísaní súboru už nebude možné meniť niektoré parametre cez grafické rozhranie, ako napríklad názov servera (naozaj, inak aký zmysel má podpisovanie?) A ak zmeníte nastavenia pomocou textového editora, podpis „odletí“.

Teraz, keď dvakrát kliknete na skratku, správa bude iná:

Nová správa. Farba je menej nebezpečná, už pokrok.

Zbavme sa ho aj my.

Krok dva. A opäť otázky dôvery

Aby sme sa zbavili tejto správy, budeme znova potrebovať skupinovú politiku. Tentoraz cesta leží v časti Konfigurácia počítača - Politiky - Šablóny pre správu - Komponenty Windows - Služby vzdialenej pracovnej plochy - Klient pripojenia vzdialenej plochy - Zadajte odtlačky SHA1 certifikátov reprezentujúcich dôveryhodných vydavateľov RDP.

Politika, ktorú potrebujeme.

V politike stačí pridať odtlačok prsta, ktorý je nám už známy z predchádzajúceho kroku.

Stojí za zmienku, že táto zásada prepíše zásadu Povoliť súbory RDP od platných vydavateľov a predvolené vlastné nastavenia RDP.

Konfigurovaná politika.

Voilá, teraz žiadne zvláštne otázky – len žiadosť o prihlasovacie meno a heslo. Hm…

Krok tri. Transparentné prihlásenie na server

Ak sme sa už pri prihlasovaní do počítača s doménou prihlásili, prečo potom musíme znova zadať rovnaké prihlasovacie meno a heslo? Prenesme poverenia na server „transparentne“. V prípade jednoduchého RDP (bez použitia RDS Gateway), ... Je to tak, skupinová politika nám príde na pomoc.

Prejdite do sekcie: Konfigurácia počítača - Politiky - Šablóny pre správu - Systém - Prenos poverení - Povoliť prenos predvolených poverení.

Tu môžete pridať požadované servery do zoznamu alebo použiť zástupný znak. Bude to vyzerať TERMSRV/trm.contoso.com alebo TERMSRV/*.contoso.com.

Konfigurovaná politika.

Teraz, keď sa pozriete na náš štítok, bude vyzerať asi takto:

Používateľské meno nie je možné zmeniť.

Ak používate bránu RDS, budete na nej musieť povoliť aj prenos údajov. Ak to chcete urobiť, v Správcovi IIS v časti „Metódy overovania“ musíte vypnúť anonymné overenie a povoliť overenie systému Windows.

Nakonfigurovaná služba IIS.

Po dokončení príkazu nezabudnite reštartovať webové služby:

iisreset /noforce

Teraz je všetko v poriadku, žiadne otázky alebo otázky.

Do prieskumu sa môžu zapojiť iba registrovaní užívatelia. Prihlásiť saProsím.

Povedzte mi, podpisujete štítky RDP pre svojich používateľov?

• 43%Nie, sú zvyknutí kliknúť na „OK“ v správach bez toho, aby si ich prečítali, niektorí dokonca sami zaškrtnú políčka „Už sa nepýtať.“28

• 29.2%Štítok opatrne umiestnim rukami a spolu s každým používateľom vykonám prvé prihlásenie na server.19

• 6.1%Samozrejme, že milujem poriadok vo všetkom.4

• 21.5%Nepoužívam terminálové servery.14

Hlasovalo 65 užívateľov. 14 užívateľov sa zdržalo hlasovania.

Zdroj: hab.com