Не тако давно смо имплементирали решење на Виндовс терминал сервер. Као и обично, бацили су пречице за повезивање на десктопе запослених, и рекли – посао. Али показало се да су корисници застрашени сајбер-безбедношћу. И када се повезујете са сервером, видите поруке попут: „Да ли верујете овом серверу? Тачно, тачно?", уплашили су се и окренули према нама - али да ли је све у реду, могу ли да кликнем на ОК? Тада је одлучено да се све уради лепо, како не би било питања и панике.

Ако вам корисници и даље долазе са сличним страховима, а ви сте уморни од штиклирања „Не питај поново“ - добродошли под кат.

Нулти корак. Обука и питања поверења

Дакле, наш корисник кликне на сачувану датотеку са екстензијом .рдп и добије следећи захтев:

Злонамерна веза.

Да бисте се решили овог прозора, користите посебан услужни програм који се зове РДПСигн.еке. Комплетна документација доступна је, као и обично, на адреси званични сајт, а ми ћемо анализирати пример употребе.

Прво морамо узети сертификат за потписивање датотеке. Он може бити:

• Јавно.
• Издаје интерни ауторитет за издавање сертификата.
• Потпуно самопотписан.

Најважније је да сертификат има могућност потписивања (да, можете изабрати
ЕДС рачуновође), а клијентски рачунари су му веровали. Овде ћу користити самопотписани сертификат.

Да вас подсетим да се поверење у самопотписани сертификат може организовати коришћењем групних смерница. Још мало детаља - испод спојлера.

Како направити сертификат коме се верује магија ГПО-а

Прво, потребно је да узмете постојећи сертификат без приватног кључа у .цер формату (ово се може урадити експортовањем сертификата из додатка Сертификати) и ставити га у мрежну фасциклу која је доступна корисницима за читање. Након тога, можете да конфигуришете смернице групе.

Увоз сертификата је конфигурисан у одељку: Конфигурација рачунара – Смернице – Конфигурација оперативног система Виндовс – Безбедносне поставке – Смернице јавног кључа – Поуздани ауторитети за сертификацију корена. Затим кликните десним тастером миша да бисте увезли сертификат.

Конфигурисана политика.

Клијентски рачунари ће сада веровати самопотписаном сертификату.

Ако су проблеми са поверењем решени, идемо директно на питање потписа.

Први корак. Свеобухватно потписивање датотеке

Постоји сертификат, сада морате да сазнате његов отисак прста. Само га отворите у додатку „Сертификати“ и копирајте га на картицу „Састав“.

Треба нам отисак.

Боље је одмах га довести у одговарајући облик - само велика слова и без размака, ако их има. Погодно је то урадити у ПоверСхелл конзоли помоћу команде:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Након што сте добили испис у жељеном формату, можете безбедно потписати рдп датотеку:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Где је .цонтосо.рдп апсолутна или релативна путања до наше датотеке.

Након што је датотека потписана, више неће бити могуће мењати неке од параметара преко графичког интерфејса, као што је име сервера (заиста, иначе каква је поента потписивања?) А ако промените подешавања помоћу уређивача текста, онда потпис „лети”.

Сада, када двапут кликнете на ознаку, порука ће бити другачија:

Нова порука. Боја је мање опасна, већ напредује.

Отарасимо се и њега.

Други корак. И опет питања поверења

Да бисмо се решили ове поруке, поново нам је потребна групна политика. Овог пута пут лежи у одељку Конфигурација рачунара – Смернице – Административни шаблони – Виндовс компоненте – Услуге удаљене радне површине – Клијент за везу са удаљеном радном површином – Наведите СХА1 отиске прстију сертификата који представљају поуздане РДП издаваче.

Потребна нам је политика.

У полису је довољно додати отисак који нам је већ познат из претходног корака.

Вреди напоменути да ове смернице замењују смернице „Дозволи РДП датотеке од важећих издавача и прилагођене подразумеване РДП поставке“.

Конфигурисана политика.

Воила, сада нема чудних питања - само захтев за пријаву и лозинку. хм…

Трећи корак. Транспарентна пријава на сервер

Заиста, ако смо се већ пријавили на рачунар домена, зашто онда морамо поново да уносимо исто корисничко име и лозинку? Проследимо акредитиве серверу „транспарентно“. У случају једноставног РДП-а (без коришћења РДС Гатеваи-а), ми ћемо прискочити у помоћ ... Тако је, групна политика.

Идемо у одељак: Конфигурација рачунара - Смернице - Административни шаблони - Систем - Преношење акредитива - Дозволи пренос подразумеваних акредитива.

Овде можете додати потребне сервере на листу или користити џокер знак. Изгледаће као ТЕРМСРВ/трм.цонтосо.цом или ТЕРМСРВ/*.цонтосо.цом.

Конфигурисана политика.

Сада, ако погледате нашу етикету, изгледаће отприлике овако:

Не мењајте корисничко име.

Ако се користи РДС мрежни пролаз, такође ћете морати да дозволите пренос података на њему. Да бисте то урадили, у ИИС менаџеру морате да онемогућите анонимну аутентификацију у „Методи аутентикације“ и омогућите Виндовс аутентификацију.

конфигурисан ИИС.

Не заборавите да поново покренете веб услуге командом:

iisreset /noforce

Сада је све у реду, нема питања и захтева.

Само регистровани корисници могу учествовати у анкети. Пријавите се, Добродошао си.

Реците ми да ли потписујете РДП ознаке за своје кориснике?

• 100%Не, обучени су да притискају „ОК“ у порукама без читања, неки чак и сами стављају „Не питај поново“.28

• 100%Рукама пажљиво постављам етикету и заједно са сваким корисником вршим прво пријављивање на сервер.19

• 100%Наравно да волим све по реду.4

• 100%Не користим терминалске сервере.14

Гласало је 65 корисника. Уздржано је било 14 корисника.

Извор: ввв.хабр.цом