Henteu lami pisan, kami ngalaksanakeun solusi dina server terminal Windows. Sakumaha biasa, aranjeunna threw potong kompas pikeun nyambungkeun kana desktops karyawan, sarta ngomong - karya. Tapi pamaké tétéla jadi intimidated ku Cybersecurity. Sareng nalika nyambung ka server, ningali pesen sapertos: "Naha anjeun percanten ka server ieu? Leres, persis? ”, Aranjeunna sieun sareng ngalih ka kami - tapi sadayana henteu kunanaon, naha kuring tiasa klik OK? Lajeng ieu mutuskeun pikeun ngalakukeun sagalana beautifully, ku kituna teu aya patarosan atanapi panik.

Upami pangguna anjeun masih sumping ka anjeun kalayan kasieun anu sami, sareng anjeun bosen ngetik "Ulah naroskeun deui" - wilujeng sumping di handapeun ucing.

Nol léngkah. Pelatihan sareng Isu Amanah

Janten, pangguna urang ngaklik file anu disimpen kalayan ekstensi .rdp sareng nampi pamundut ieu:

Sambungan jahat.

Pikeun ngaleungitkeun jandela ieu, nganggo utilitas khusus anu disebut RDPSign.exe. dokuméntasi pinuh sadia, sakumaha biasa, di ramatloka resmi, sarta kami bakal nganalisis conto pamakéan.

Mimiti urang kedah nyandak sertipikat pikeun ngadaptarkeun file. Anjeunna tiasa:

• Umum.
• Dikaluarkeun ku Otoritas Sertipikat internal.
• Sapinuhna ditandatanganan sorangan.

Anu paling penting nyaéta yén sertipikat ngagaduhan kamampuan pikeun asup (enya, anjeun tiasa milih
Akuntan EDS), sareng PC klien percanten ka anjeunna. Di dieu kuring bakal nganggo sertipikat anu ditandatanganan diri.

Hayu atuh ngingetan yén kapercayaan dina sertipikat anu ditandatanganan diri tiasa diatur nganggo kawijakan grup. Sakedik langkung rinci - handapeun spoiler.

Kumaha Jieun Sertipikat Dipercanten ku Magic of GPO

Mimiti, anjeun kedah nyandak sertipikat anu tos aya tanpa konci pribadi dina format .cer (ieu tiasa dilakukeun ku cara ngékspor sertipikat ti Sértipikat snap-in) teras nahan kana folder jaringan anu tiasa diaksés ku pangguna pikeun dibaca. Saatos éta, anjeun tiasa ngonpigurasikeun Kabijakan Grup.

Ngimpor sertipikat dikonpigurasi dina bagian: Konfigurasi Komputer - Kawijakan - Konfigurasi Windows - Setélan Kaamanan - Kawijakan Konci Umum - Otoritas Sertifikasi Akar Dipercanten. Teras, klik katuhu pikeun ngimpor sertipikat.

Kawijakan anu dikonpigurasikeun.

PC klien ayeuna bakal percanten kana sertipikat anu ditandatanganan sorangan.

Upami masalah amanah direngsekeun, urang langsung ka masalah tandatangan.

Lengkah hiji. Sweepingly nandatanganan file

Aya sertipikat, ayeuna anjeun kedah milarian sidik jari na. Ngan buka dina "Sertifikat" snap-in sarta salin dina tab "Komposisi".

Urang peryogi sidik.

Hadé pisan mun éta langsung mawa kana formulir ditangtoskeun - ngan hurup kapital sarta tanpa spasi, upami aya. Ieu tiasa gampang dilakukeun dina konsol PowerShell kalayan paréntah:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Saatos nampi citak dina format anu dipikahoyong, anjeun tiasa aman ngadaptarkeun file rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Dimana .contoso.rdp mangrupakeun jalur mutlak atawa relatif ka file urang.

Saatos file ditandatanganan, éta moal deui tiasa ngarobih sababaraha parameter ngalangkungan antarmuka grafis, sapertos nami server (saleresna, upami henteu, naon gunana ditandatanganan?) Sareng upami anjeun ngarobih setélan nganggo pangropéa téksu, lajeng signature "ngapung".

Ayeuna, nalika anjeun ngaklik dua kali dina labél, pesenna bakal béda:

Pesen anyar. Warna anu kirang bahaya, geus kamajuan.

Hayu urang nyingkirkeun anjeunna ogé.

Lengkah kadua. Jeung deui patarosan kapercayaan

Pikeun ngaleungitkeun pesen ieu kami peryogi Kabijakan Grup deui. Waktos ieu jalan aya dina bagian Konfigurasi Komputer - Kawijakan - Citakan Administratif - Komponén Windows - Layanan Desktop Jauh - Klién Sambungan Desktop Jauh - Sebutkeun sidik SHA1 tina sertipikat anu ngagambarkeun penerbit RDP anu dipercaya.

Urang peryogi kawijakan.

Dina pulitik, cukup pikeun nambahkeun sidik nu geus akrab jeung urang ti hambalan saméméhna.

Perhatoskeun yén kawijakan ieu nimpa kabijakan "Ngidinan file RDP ti penerbit anu sah sareng setélan RDP standar khusus".

Kawijakan anu dikonpigurasikeun.

Voila, ayeuna euweuh patarosan aneh - ngan hiji pamundut login-sandi. Hm…

Lengkah tilu. Transparan login ka server

Mémang, upami urang parantos lebet kana komputer domain, naha urang kedah ngalebetkeun deui login sareng kecap konci anu sami? Hayu urang lulus Kapercayaan ka server "transparan". Dina kasus RDP saderhana (tanpa nganggo RDS Gateway), kami bakal nyalametkeun ... Leres, kawijakan grup.

Urang buka bagian: Konfigurasi Komputer - Kawijakan - Citakan Administratif - Sistem - Ngaliwatan Kapercayaan - Ngidinan mindahkeun tina Kapercayaan standar.

Di dieu anjeun tiasa nambihan server anu diperyogikeun kana daptar atanapi nganggo wildcard. Bakal kasampak kawas TERMSRV/trm.contoso.com atawa TERMSRV/*.contoso.com.

Kawijakan anu dikonpigurasikeun.

Ayeuna, upami urang ningali labél urang, éta bakal katingali sapertos kieu:

Ulah ngarobah ngaran pamaké.

Upami RDS Gateway dianggo, anjeun ogé kedah ngijinkeun transfer data dina éta. Jang ngalampahkeun ieu, dina manajer IIS, anjeun kedah nganonaktipkeun auténtikasi anonim dina "Metode Auténtikasi" sareng aktipkeun auténtikasi Windows.

ngonpigurasi IIS.

Tong hilap balikan deui jasa wéb nganggo paréntah:

iisreset /noforce

Ayeuna sadayana saé, henteu aya patarosan sareng pamundut.

Ngan pamaké nu kadaptar bisa ilubiung dina survey. Daptar, Punten.

Béjakeun ka kuring, naha anjeun ngadaptarkeun labél RDP pikeun pangguna anjeun?

• 43%Henteu, aranjeunna dilatih pikeun mencét "OK" dina pesen tanpa maca, malah aya anu nempatkeun kotak centang "Ulah nanya deui" sorangan.28

• 29.2%Kuring taliti nempatkeun labél jeung leungeun kuring jeung nyieun login pangheulana server babarengan jeung unggal pamaké.19

• 6.1%Tangtu, kuring resep sagalana dina urutan.4

• 21.5%Abdi henteu nganggo server terminal.14

65 pamaké milih. 14 pamaké abstained.

sumber: www.habr.com