För inte så länge sedan implementerade vi en lösning på en Windows-terminalserver. Som vanligt kastade de genvägar till anslutningen på de anställdas skrivbord och sa åt dem att arbeta. Men användare visade sig vara skrämda när det gäller cybersäkerhet. Och när du ansluter till servern ser du meddelanden som: "Litterar du på den här servern? Exakt, exakt?”, blev de rädda och vände sig mot oss – är allt okej, kan vi klicka på OK? Sedan bestämde man sig för att göra allt vackert, så att det inte skulle bli några frågor eller panik.

Om dina användare fortfarande kommer till dig med liknande rädslor och du är trött på att markera rutan "Fråga inte igen", välkommen till katten.

Steg noll. Förberedelse och förtroendefrågor

Så vår användare klickar på den sparade filen med tillägget .rdp och får följande begäran:

"skadlig" anslutning.

För att bli av med det här fönstret, använd ett speciellt verktyg som heter RDPSign.exe. Fullständig dokumentation finns som vanligt på officiella hemsida, och vi kommer att titta på ett exempel på användning.

Först måste vi ta ett certifikat för att signera filen. Han kan vara:

• Offentlig.
• Utfärdad av den interna certifikatutfärdarens tjänst.
• Helt självsignerad.

Det viktigaste är att certifikatet har möjlighet att signeras (ja, du kan välja
revisorer har digitala signaturer), och klientdatorer litade på honom. Här kommer jag att använda ett självsignerat certifikat.

Låt mig påminna dig om att förtroende för ett självsignerat certifikat kan organiseras med hjälp av grupppolicyer. Lite mer detaljer finns under spoilern.

Hur man gör ett certifikat tillförlitligt med hjälp av GPO:s magi

Först måste du ta det befintliga certifikatet utan den privata nyckeln i .cer-format (detta kan göras genom att exportera certifikatet från snapin-modulen Certifikat) och lägga det i en nätverksmapp som användarna kan läsa. Efter detta kan du konfigurera grupprincip.

Certifikatimport konfigureras i avsnittet: Datorkonfiguration - Policies - Windows-konfiguration - Säkerhetsinställningar - Public Key Policies - Betrodda rotcertifikatutfärdare. Högerklicka sedan för att importera certifikatet.

Konfigurerad policy.

Klientdatorer kommer nu att lita på det självsignerade certifikatet.

Om förtroendeproblemen är lösta går vi direkt till signaturfrågan.

Steg ett. Vi undertecknar filen på ett svepande sätt

Det finns ett certifikat, nu måste du ta reda på dess fingeravtryck. Öppna det bara i snapin-modulen "Certificates" och kopiera det till fliken "Composition".

Fingeravtrycket vi behöver.

Det är bättre att omedelbart ta det i rätt form - bara versaler och inga mellanslag, om några. Detta kan enkelt göras i PowerShell-konsolen med kommandot:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Efter att ha fått fingeravtrycket i det format som krävs kan du säkert signera rdp-filen:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Där .contoso.rdp är den absoluta eller relativa sökvägen till vår fil.

När filen väl är signerad kommer det inte längre att vara möjligt att ändra vissa av parametrarna via det grafiska gränssnittet, som servernamnet (egentligen, annars vad är poängen med att signera?) Och om du ändrar inställningarna med en textredigerare, signaturen "flyger av".

Nu när du dubbelklickar på genvägen blir meddelandet annorlunda:

Ett nytt meddelande. Färgen är mindre farlig, redan framsteg.

Låt oss bli av med honom också.

Steg två. Och återigen frågor om förtroende

För att bli av med detta meddelande behöver vi gruppolicy igen. Den här gången ligger vägen i avsnittet Datorkonfiguration - Policyer - Administrativa mallar - Windows-komponenter - Fjärrskrivbordstjänster - Fjärrskrivbordsanslutningsklient - Ange SHA1-fingeravtryck för certifikat som representerar betrodda RDP-utgivare.

Den politik vi behöver.

I politiken räcker det med att lägga till det fingeravtryck som redan är bekant för oss från föregående steg.

Det är värt att notera att den här policyn åsidosätter Tillåt RDP-filer från giltiga utgivare och standardpolicyn för anpassade RDP-inställningar.

Konfigurerad policy.

Voila, nu inga konstiga frågor - bara en begäran om inloggning och lösenord. Hm…

Steg tre. Transparent inloggning till servern

Faktum är att om vi redan har loggat in när vi loggar in på en domändator, varför måste vi då ange samma inloggning och lösenord igen? Låt oss överföra referenserna till servern "transparent". I fallet med enkel RDP (utan att använda RDS Gateway), ... Det stämmer, grupppolicy kommer till vår hjälp.

Gå till avsnittet: Datorkonfiguration - Policyer - Administrativa mallar - System - Överföring av inloggningsuppgifter - Tillåt överföring av standarduppgifter.

Här kan du lägga till de nödvändiga servrarna i listan eller använda ett jokertecken. Det kommer att se ut TERMSRV/trm.contoso.com eller TERMSRV/*.contoso.com.

Konfigurerad policy.

Nu, om du tittar på vår etikett, kommer den att se ut ungefär så här:

Användarnamnet kan inte ändras.

Om du använder RDS Gateway måste du också aktivera dataöverföring på den. För att göra detta, i IIS Manager, i "Autentiseringsmetoder" måste du inaktivera anonym verifiering och aktivera Windows-autentisering.

Konfigurerad IIS.

Glöm inte att starta om webbtjänsterna när du är klar med kommandot:

iisreset /noforce

Nu är allt bra, inga frågor eller funderingar.

Endast registrerade användare kan delta i undersökningen. Logga in, Snälla du.

Säg mig, signerar du RDP-etiketter för dina användare?

• 43%Nej, de är vana vid att klicka på "OK" i meddelanden utan att läsa dem, vissa markerar till och med själva rutorna för "Fråga inte igen."28

• 29.2%Jag placerar försiktigt etiketten med händerna och gör den första inloggningen till servern tillsammans med varje användare.19

• 6.1%Självklart älskar jag ordning och reda i allt.4

• 21.5%Jag använder inte terminalservrar.14

65 användare röstade. 14 användare avstod från att rösta.

Källa: will.com