చాలా కాలం క్రితం, మేము Windows టెర్మినల్ సర్వర్లో ఒక పరిష్కారాన్ని అమలు చేసాము. ఎప్పటిలాగే, వారు ఉద్యోగుల డెస్క్టాప్లకు కనెక్ట్ చేయడానికి సత్వరమార్గాలను విసిరారు మరియు చెప్పారు - పని. కానీ వినియోగదారులు సైబర్ సెక్యూరిటీకి భయపడినట్లు తేలింది. మరియు సర్వర్కి కనెక్ట్ చేస్తున్నప్పుడు, ఇలాంటి సందేశాలు కనిపిస్తున్నాయి: “మీరు ఈ సర్వర్ని విశ్వసిస్తున్నారా? సరిగ్గా, సరిగ్గా? ”, వారు భయపడ్డారు మరియు మా వైపు తిరిగారు - కానీ అంతా బాగానే ఉంది, నేను సరేపై క్లిక్ చేయవచ్చా? అప్పుడు ఎటువంటి ప్రశ్నలు లేదా భయాందోళనలకు గురికాకుండా ప్రతిదీ అందంగా చేయాలని నిర్ణయించుకున్నారు.
మీ వినియోగదారులు ఇప్పటికీ ఇలాంటి భయాలతో మీ వద్దకు వచ్చి, “మళ్లీ అడగవద్దు” అని టిక్ చేయడంతో మీరు అలసిపోతే - పిల్లి కింద స్వాగతం.
సున్నా అడుగు. శిక్షణ మరియు ట్రస్ట్ సమస్యలు
కాబట్టి, మా వినియోగదారు .rdp పొడిగింపుతో సేవ్ చేసిన ఫైల్పై క్లిక్ చేసి, కింది అభ్యర్థనను స్వీకరిస్తారు:
హానికరమైన కనెక్షన్.
ఈ విండోను వదిలించుకోవడానికి, అనే ప్రత్యేక ప్రయోజనాన్ని ఉపయోగించండి RDPSign.exe. పూర్తి డాక్యుమెంటేషన్ అందుబాటులో ఉంది, సాధారణంగా, వద్ద
ముందుగా ఫైల్పై సంతకం చేయడానికి సర్టిఫికేట్ తీసుకోవాలి. అతను కావచ్చు:
- ప్రజా.
- అంతర్గత సర్టిఫికేట్ అథారిటీ ద్వారా జారీ చేయబడింది.
- పూర్తిగా స్వీయ సంతకం.
అతి ముఖ్యమైన విషయం ఏమిటంటే, సర్టిఫికేట్ సంతకం చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది (అవును, మీరు ఎంచుకోవచ్చు
EDS అకౌంటెంట్లు), మరియు క్లయింట్ PCలు అతనిని విశ్వసించాయి. ఇక్కడ నేను స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని ఉపయోగిస్తాను.
స్వీయ సంతకం చేసిన సర్టిఫికేట్పై నమ్మకాన్ని సమూహ విధానాలను ఉపయోగించి నిర్వహించవచ్చని నేను మీకు గుర్తు చేస్తున్నాను. కొంచెం ఎక్కువ వివరాలు - స్పాయిలర్ కింద.
GPO యొక్క మ్యాజిక్తో విశ్వసనీయమైన సర్టిఫికేట్ను ఎలా తయారు చేయాలి
ముందుగా, మీరు .cer ఫార్మాట్లో ప్రైవేట్ కీ లేకుండా ఇప్పటికే ఉన్న సర్టిఫికేట్ను తీసుకోవాలి (సర్టిఫికెట్ల స్నాప్-ఇన్ నుండి సర్టిఫికెట్ని ఎగుమతి చేయడం ద్వారా దీన్ని చేయవచ్చు) మరియు దానిని వినియోగదారులు చదవడానికి యాక్సెస్ చేయగల నెట్వర్క్ ఫోల్డర్లో ఉంచాలి. ఆ తర్వాత, మీరు గ్రూప్ పాలసీని కాన్ఫిగర్ చేయవచ్చు.
సర్టిఫికేట్ను దిగుమతి చేయడం విభాగంలో కాన్ఫిగర్ చేయబడింది: కంప్యూటర్ కాన్ఫిగరేషన్ - విధానాలు - విండోస్ కాన్ఫిగరేషన్ - సెక్యూరిటీ సెట్టింగ్లు - పబ్లిక్ కీ పాలసీలు - విశ్వసనీయ రూట్ సర్టిఫికేషన్ అథారిటీలు. తరువాత, సర్టిఫికేట్ను దిగుమతి చేయడానికి కుడి-క్లిక్ చేయండి.
కాన్ఫిగర్ చేయబడిన విధానం.
క్లయింట్ PCలు ఇప్పుడు స్వీయ సంతకం చేసిన సర్టిఫికేట్ను విశ్వసిస్తాయి.
ట్రస్ట్ సమస్యలు పరిష్కరించబడితే, మేము నేరుగా సంతకం సమస్యకు వెళ్తాము.
మొదటి అడుగు. తుడిచిపెట్టి ఫైల్పై సంతకం చేస్తోంది
సర్టిఫికేట్ ఉంది, ఇప్పుడు మీరు దాని వేలిముద్రను కనుగొనాలి. దానిని "సర్టిఫికెట్లు" స్నాప్-ఇన్లో తెరిచి, "కంపోజిషన్" ట్యాబ్లో కాపీ చేయండి.
మాకు ఒక ముద్ర అవసరం.
వెంటనే సరైన రూపానికి తీసుకురావడం మంచిది - పెద్ద అక్షరాలు మాత్రమే మరియు ఖాళీలు లేకుండా, ఏదైనా ఉంటే. కమాండ్తో పవర్షెల్ కన్సోల్లో దీన్ని చేయడం సౌకర్యంగా ఉంటుంది:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
కావలసిన ఆకృతిలో ముద్రణను స్వీకరించిన తర్వాత, మీరు సురక్షితంగా rdp ఫైల్పై సంతకం చేయవచ్చు:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
.contoso.rdp అనేది మన ఫైల్కు సంపూర్ణ లేదా సంబంధిత మార్గం.
ఫైల్ సంతకం చేసిన తర్వాత, గ్రాఫికల్ ఇంటర్ఫేస్ ద్వారా సర్వర్ పేరు వంటి కొన్ని పారామితులను మార్చడం ఇకపై సాధ్యం కాదు (నిజంగా, లేకపోతే సంతకం చేయడం ఏమిటి?) మరియు మీరు టెక్స్ట్ ఎడిటర్తో సెట్టింగ్లను మార్చినట్లయితే, అప్పుడు సంతకం "ఫ్లైస్".
ఇప్పుడు, మీరు లేబుల్పై డబుల్ క్లిక్ చేసినప్పుడు, సందేశం భిన్నంగా ఉంటుంది:
ఒక కొత్త సందేశం. రంగు తక్కువ ప్రమాదకరమైనది, ఇప్పటికే పురోగతి.
అతన్ని కూడా వదిలించుకుందాం.
దశ రెండు. మరియు మళ్ళీ విశ్వాసం యొక్క ప్రశ్నలు
ఈ సందేశాన్ని వదిలించుకోవడానికి, మాకు మళ్లీ గ్రూప్ పాలసీ అవసరం. ఈసారి రహదారి విభాగంలో కంప్యూటర్ కాన్ఫిగరేషన్ - విధానాలు - అడ్మినిస్ట్రేటివ్ టెంప్లేట్లు - విండోస్ భాగాలు - రిమోట్ డెస్క్టాప్ సేవలు - రిమోట్ డెస్క్టాప్ కనెక్షన్ క్లయింట్ - విశ్వసనీయ RDP ప్రచురణకర్తలను సూచించే ప్రమాణపత్రాల SHA1 వేలిముద్రలను పేర్కొనండి.
మాకు ఒక విధానం కావాలి.
పాలసీలో, మునుపటి దశ నుండి మనకు ఇప్పటికే తెలిసిన ముద్రణను జోడించడం సరిపోతుంది.
ఈ విధానం "చెల్లుబాటు అయ్యే ప్రచురణకర్తలు మరియు అనుకూల డిఫాల్ట్ RDP సెట్టింగ్ల నుండి RDP ఫైల్లను అనుమతించు" విధానాన్ని భర్తీ చేస్తుందని గమనించాలి.
కాన్ఫిగర్ చేయబడిన విధానం.
Voila, ఇప్పుడు వింత ప్రశ్నలు లేవు - లాగిన్-పాస్వర్డ్ అభ్యర్థన మాత్రమే. మ్...
దశ మూడు. సర్వర్కు పారదర్శక లాగిన్
నిజానికి, మేము ఇప్పటికే డొమైన్ కంప్యూటర్కు లాగిన్ చేసి ఉంటే, అదే లాగిన్ మరియు పాస్వర్డ్ను మనం ఎందుకు మళ్లీ నమోదు చేయాలి? "పారదర్శకంగా" సర్వర్కు ఆధారాలను పాస్ చేద్దాం. సాధారణ RDP విషయంలో (RDS గేట్వేని ఉపయోగించకుండా), మేము రక్షించటానికి వస్తాము ... అది నిజం, సమూహ విధానం.
మేము విభాగానికి వెళ్తాము: కంప్యూటర్ కాన్ఫిగరేషన్ - విధానాలు - అడ్మినిస్ట్రేటివ్ టెంప్లేట్లు - సిస్టమ్ - పాస్సింగ్ క్రెడెన్షియల్స్ - డిఫాల్ట్ ఆధారాలను బదిలీ చేయడానికి అనుమతించండి.
ఇక్కడ మీరు జాబితాకు అవసరమైన సర్వర్లను జోడించవచ్చు లేదా వైల్డ్కార్డ్ని ఉపయోగించవచ్చు. లాగా ఉంటుంది TERMSRV/trm.contoso.com లేదా TERMSRV/*.contoso.com.
కాన్ఫిగర్ చేయబడిన విధానం.
ఇప్పుడు, మీరు మా లేబుల్ను చూస్తే, ఇది ఇలా కనిపిస్తుంది:
వినియోగదారు పేరును మార్చవద్దు.
RDS గేట్వే ఉపయోగించినట్లయితే, మీరు దానిపై డేటా బదిలీని కూడా అనుమతించాలి. దీన్ని చేయడానికి, IIS మేనేజర్లో, మీరు "ప్రామాణీకరణ పద్ధతులు"లో అనామక ప్రమాణీకరణను నిలిపివేయాలి మరియు Windows ప్రమాణీకరణను ప్రారంభించాలి.
కాన్ఫిగర్ చేయబడిన IIS.
ఆదేశంతో వెబ్ సేవలను పునఃప్రారంభించడం మర్చిపోవద్దు:
iisreset /noforce
ఇప్పుడు అంతా బాగానే ఉంది, ప్రశ్నలు మరియు అభ్యర్థనలు లేవు.
నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు.
నాకు చెప్పండి, మీరు మీ వినియోగదారుల కోసం RDP లేబుల్లపై సంతకం చేస్తారా?
-
43%లేదు, వారు చదవకుండానే సందేశాలలో “సరే” నొక్కడానికి శిక్షణ పొందారు, కొందరు “మళ్లీ అడగవద్దు” చెక్బాక్స్లను కూడా ఉంచారు.28
-
29.2%నేను జాగ్రత్తగా నా చేతులతో లేబుల్ని ఉంచుతాను మరియు ప్రతి వినియోగదారుతో కలిసి సర్వర్కి మొదటి లాగిన్ చేస్తాను.19
-
6.1%వాస్తవానికి, నేను క్రమంలో ప్రతిదీ ఇష్టం.4
-
21.5%నేను టెర్మినల్ సర్వర్లను ఉపయోగించను.14
65 మంది వినియోగదారులు ఓటు వేశారు. 14 మంది వినియోగదారులు దూరంగా ఉన్నారు.
మూలం: www.habr.com