Ne tako dolgo nazaj smo implementirali rešitev na Windows terminalski strežnik. Kot običajno so vrgli bližnjice za povezavo z namizji zaposlenih in rekli – delo. Vendar se je izkazalo, da so uporabniki kibernetske varnosti prestrašeni. In ko se povezujete s strežnikom, vidite sporočila, kot je: »Ali zaupate temu strežniku? Točno, točno? ”, Prestrašili so se in se obrnili k nam - a je vse v redu, lahko kliknem na OK? Potem je bilo odločeno, da vse naredimo lepo, da ne bi bilo vprašanj ali panike.

Če vaši uporabniki še vedno prihajajo k vam s podobnimi strahovi in ​​ste naveličani kljukanja "Ne sprašuj več" - dobrodošli pod kat.

Ničelni korak. Težave z usposabljanjem in zaupanjem

Torej, naš uporabnik klikne na shranjeno datoteko s končnico .rdp in prejme naslednjo zahtevo:

Zlonamerna povezava.

Če se želite znebiti tega okna, uporabite poseben pripomoček, imenovan RDPSign.exe. Celotna dokumentacija je kot običajno dostopna na uradna spletna stran, in analizirali bomo primer uporabe.

Najprej moramo vzeti potrdilo za podpis datoteke. Lahko je:

• Javno.
• Izdal interni overitelj potrdil.
• Popolnoma samopodpisano.

Najpomembneje je, da ima potrdilo možnost podpisa (da, lahko izberete
Računovodje EDS), osebni računalniki strank so mu zaupali. Tu bom uporabil samopodpisano potrdilo.

Naj vas spomnim, da je zaupanje v samopodpisano potrdilo mogoče organizirati s pravilniki skupine. Še malo podrobnosti - pod spojlerjem.

Kako narediti potrdilo, ki bo zaupalo magiji GPO

Najprej morate vzeti obstoječe potrdilo brez zasebnega ključa v formatu .cer (to lahko storite z izvozom potrdila iz snap-ina Certificates) in ga postaviti v omrežno mapo, ki je dostopna uporabnikom za branje. Po tem lahko konfigurirate pravilnik skupine.

Uvoz potrdila je konfiguriran v razdelku: Konfiguracija računalnika - Politike - Konfiguracija sistema Windows - Varnostne nastavitve - Politike javnega ključa - Zaupanja vredna korenska potrdila. Nato z desno tipko miške kliknite, da uvozite potrdilo.

Konfiguriran pravilnik.

Odjemalski računalniki bodo zdaj zaupali samopodpisanemu potrdilu.

Če so težave z zaupanjem rešene, gremo neposredno na vprašanje podpisa.

Prvi korak. Natančno podpisovanje datoteke

Obstaja potrdilo, zdaj morate najti njegov prstni odtis. Odprite ga v snap-inu »Certifikati« in kopirajte na zavihek »Sestava«.

Potrebujemo odtis.

Bolje je, da ga takoj spravite v pravilno obliko - samo velike črke in brez presledkov, če obstajajo. To je priročno narediti v konzoli PowerShell z ukazom:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Ko prejmete natis v želeni obliki, lahko varno podpišete datoteko rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Kjer je .contoso.rdp absolutna ali relativna pot do naše datoteke.

Ko bo datoteka podpisana, ne bo več mogoče spreminjati nekaterih parametrov prek grafičnega vmesnika, kot je ime strežnika (res, drugače pa kakšen smisel ima podpisovanje?) In če spremenite nastavitve z urejevalnikom besedil, potem podpis "leti".

Zdaj, ko dvakrat kliknete na oznako, bo sporočilo drugačno:

Novo sporočilo. Barva je manj nevarna, že napreduje.

Znebimo se tudi njega.

Drugi korak. In spet vprašanja zaupanja

Da se znebimo tega sporočila, spet potrebujemo pravilnik skupine. Tokrat je pot v razdelku Konfiguracija računalnika - Politike - Administrativne predloge - Komponente Windows - Storitve oddaljenega namizja - Odjemalec povezave z oddaljenim namizjem - Določite prstne odtise SHA1 potrdil, ki predstavljajo zaupanja vredne izdajatelje RDP.

Potrebujemo politiko.

V politiko je dovolj, da dodate odtis, ki nam je že poznan iz prejšnjega koraka.

Omeniti velja, da ta pravilnik preglasi pravilnik »Dovoli datoteke RDP od veljavnih založnikov in privzete nastavitve RDP po meri«.

Konfiguriran pravilnik.

Voila, zdaj brez čudnih vprašanj - le zahteva za prijavo in geslo. hm...

Tretji korak. Transparentna prijava na strežnik

Dejansko, če smo se že prijavili v domenski računalnik, zakaj moramo potem znova vnesti isto prijavo in geslo? Poverilnice posredujmo strežniku »transparentno«. V primeru preprostega RDP (brez uporabe RDS Gateway) bomo priskočili na pomoč ... Tako je, pravilnik skupine.

Gremo v razdelek: Konfiguracija računalnika - Politike - Administrativne predloge - Sistem - Posredovanje poverilnic - Dovoli prenos privzetih poverilnic.

Tukaj lahko dodate potrebne strežnike na seznam ali uporabite nadomestni znak. Izgledalo bo kot TERMSRV/trm.contoso.com ali TERMSRV/*.contoso.com.

Konfiguriran pravilnik.

Zdaj, če pogledate našo etiketo, bo videti nekako takole:

Ne spreminjajte uporabniškega imena.

Če uporabljate RDS Gateway, boste morali dovoliti tudi prenos podatkov na njem. Če želite to narediti, morate v IIS Managerju onemogočiti anonimno preverjanje v "Authentication Methods" in omogočiti Windows Authentication.

konfiguriran IIS.

Ne pozabite znova zagnati spletnih storitev z ukazom:

iisreset /noforce

Zdaj je vse v redu, brez vprašanj in zahtev.

V anketi lahko sodelujejo samo registrirani uporabniki. Prijaviti se, prosim.

Povejte mi, ali svojim uporabnikom podpisujete oznake RDP?

• 43%Ne, izurjeni so, da v sporočilih pritisnejo »V redu«, ne da bi jih prebrali, nekateri celo sami postavijo potrditvena polja »Ne sprašuj znova«.28

• 29.2%Nalepko z rokami previdno položim in skupaj z vsakim uporabnikom opravim prvo prijavo na strežnik.19

• 6.1%Seveda, rad imam vse po vrsti.4

• 21.5%Ne uporabljam terminalskih strežnikov.14

Glasovalo je 65 uporabnikov. 14 uporabnikov se je vzdržalo.

Vir: www.habr.com