చాలా కాలం క్రితం, మేము Windows టెర్మినల్ సర్వర్‌లో ఒక పరిష్కారాన్ని అమలు చేసాము. ఎప్పటిలాగే, వారు ఉద్యోగుల డెస్క్‌టాప్‌లకు కనెక్ట్ చేయడానికి సత్వరమార్గాలను విసిరారు మరియు చెప్పారు - పని. కానీ వినియోగదారులు సైబర్‌ సెక్యూరిటీకి భయపడినట్లు తేలింది. మరియు సర్వర్‌కి కనెక్ట్ చేస్తున్నప్పుడు, ఇలాంటి సందేశాలు కనిపిస్తున్నాయి: “మీరు ఈ సర్వర్‌ని విశ్వసిస్తున్నారా? సరిగ్గా, సరిగ్గా? ”, వారు భయపడ్డారు మరియు మా వైపు తిరిగారు - కానీ అంతా బాగానే ఉంది, నేను సరేపై క్లిక్ చేయవచ్చా? అప్పుడు ఎటువంటి ప్రశ్నలు లేదా భయాందోళనలకు గురికాకుండా ప్రతిదీ అందంగా చేయాలని నిర్ణయించుకున్నారు.

మీ వినియోగదారులు ఇప్పటికీ ఇలాంటి భయాలతో మీ వద్దకు వచ్చి, “మళ్లీ అడగవద్దు” అని టిక్ చేయడంతో మీరు అలసిపోతే - పిల్లి కింద స్వాగతం.

సున్నా అడుగు. శిక్షణ మరియు ట్రస్ట్ సమస్యలు

కాబట్టి, మా వినియోగదారు .rdp పొడిగింపుతో సేవ్ చేసిన ఫైల్‌పై క్లిక్ చేసి, కింది అభ్యర్థనను స్వీకరిస్తారు:

హానికరమైన కనెక్షన్.

ఈ విండోను వదిలించుకోవడానికి, అనే ప్రత్యేక ప్రయోజనాన్ని ఉపయోగించండి RDPSign.exe. పూర్తి డాక్యుమెంటేషన్ అందుబాటులో ఉంది, సాధారణంగా, వద్ద అధికారిక వెబ్సైట్, మరియు మేము ఉపయోగం యొక్క ఉదాహరణను విశ్లేషిస్తాము.

ముందుగా ఫైల్‌పై సంతకం చేయడానికి సర్టిఫికేట్ తీసుకోవాలి. అతను కావచ్చు:

• ప్రజా.
• అంతర్గత సర్టిఫికేట్ అథారిటీ ద్వారా జారీ చేయబడింది.
• పూర్తిగా స్వీయ సంతకం.

అతి ముఖ్యమైన విషయం ఏమిటంటే, సర్టిఫికేట్ సంతకం చేయగల సామర్థ్యాన్ని కలిగి ఉంటుంది (అవును, మీరు ఎంచుకోవచ్చు
EDS అకౌంటెంట్లు), మరియు క్లయింట్ PCలు అతనిని విశ్వసించాయి. ఇక్కడ నేను స్వీయ సంతకం చేసిన ప్రమాణపత్రాన్ని ఉపయోగిస్తాను.

స్వీయ సంతకం చేసిన సర్టిఫికేట్‌పై నమ్మకాన్ని సమూహ విధానాలను ఉపయోగించి నిర్వహించవచ్చని నేను మీకు గుర్తు చేస్తున్నాను. కొంచెం ఎక్కువ వివరాలు - స్పాయిలర్ కింద.

GPO యొక్క మ్యాజిక్‌తో విశ్వసనీయమైన సర్టిఫికేట్‌ను ఎలా తయారు చేయాలి

ముందుగా, మీరు .cer ఫార్మాట్‌లో ప్రైవేట్ కీ లేకుండా ఇప్పటికే ఉన్న సర్టిఫికేట్‌ను తీసుకోవాలి (సర్టిఫికెట్‌ల స్నాప్-ఇన్ నుండి సర్టిఫికెట్‌ని ఎగుమతి చేయడం ద్వారా దీన్ని చేయవచ్చు) మరియు దానిని వినియోగదారులు చదవడానికి యాక్సెస్ చేయగల నెట్‌వర్క్ ఫోల్డర్‌లో ఉంచాలి. ఆ తర్వాత, మీరు గ్రూప్ పాలసీని కాన్ఫిగర్ చేయవచ్చు.

సర్టిఫికేట్‌ను దిగుమతి చేయడం విభాగంలో కాన్ఫిగర్ చేయబడింది: కంప్యూటర్ కాన్ఫిగరేషన్ - విధానాలు - విండోస్ కాన్ఫిగరేషన్ - సెక్యూరిటీ సెట్టింగ్‌లు - పబ్లిక్ కీ పాలసీలు - విశ్వసనీయ రూట్ సర్టిఫికేషన్ అథారిటీలు. తరువాత, సర్టిఫికేట్‌ను దిగుమతి చేయడానికి కుడి-క్లిక్ చేయండి.

కాన్ఫిగర్ చేయబడిన విధానం.

క్లయింట్ PCలు ఇప్పుడు స్వీయ సంతకం చేసిన సర్టిఫికేట్‌ను విశ్వసిస్తాయి.

ట్రస్ట్ సమస్యలు పరిష్కరించబడితే, మేము నేరుగా సంతకం సమస్యకు వెళ్తాము.

మొదటి అడుగు. తుడిచిపెట్టి ఫైల్‌పై సంతకం చేస్తోంది

సర్టిఫికేట్ ఉంది, ఇప్పుడు మీరు దాని వేలిముద్రను కనుగొనాలి. దానిని "సర్టిఫికెట్లు" స్నాప్-ఇన్‌లో తెరిచి, "కంపోజిషన్" ట్యాబ్‌లో కాపీ చేయండి.

మాకు ఒక ముద్ర అవసరం.

వెంటనే సరైన రూపానికి తీసుకురావడం మంచిది - పెద్ద అక్షరాలు మాత్రమే మరియు ఖాళీలు లేకుండా, ఏదైనా ఉంటే. కమాండ్‌తో పవర్‌షెల్ కన్సోల్‌లో దీన్ని చేయడం సౌకర్యంగా ఉంటుంది:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

కావలసిన ఆకృతిలో ముద్రణను స్వీకరించిన తర్వాత, మీరు సురక్షితంగా rdp ఫైల్‌పై సంతకం చేయవచ్చు:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

.contoso.rdp అనేది మన ఫైల్‌కు సంపూర్ణ లేదా సంబంధిత మార్గం.

ఫైల్ సంతకం చేసిన తర్వాత, గ్రాఫికల్ ఇంటర్‌ఫేస్ ద్వారా సర్వర్ పేరు వంటి కొన్ని పారామితులను మార్చడం ఇకపై సాధ్యం కాదు (నిజంగా, లేకపోతే సంతకం చేయడం ఏమిటి?) మరియు మీరు టెక్స్ట్ ఎడిటర్‌తో సెట్టింగ్‌లను మార్చినట్లయితే, అప్పుడు సంతకం "ఫ్లైస్".

ఇప్పుడు, మీరు లేబుల్‌పై డబుల్ క్లిక్ చేసినప్పుడు, సందేశం భిన్నంగా ఉంటుంది:

ఒక కొత్త సందేశం. రంగు తక్కువ ప్రమాదకరమైనది, ఇప్పటికే పురోగతి.

అతన్ని కూడా వదిలించుకుందాం.

దశ రెండు. మరియు మళ్ళీ విశ్వాసం యొక్క ప్రశ్నలు

ఈ సందేశాన్ని వదిలించుకోవడానికి, మాకు మళ్లీ గ్రూప్ పాలసీ అవసరం. ఈసారి రహదారి విభాగంలో కంప్యూటర్ కాన్ఫిగరేషన్ - విధానాలు - అడ్మినిస్ట్రేటివ్ టెంప్లేట్లు - విండోస్ భాగాలు - రిమోట్ డెస్క్‌టాప్ సేవలు - రిమోట్ డెస్క్‌టాప్ కనెక్షన్ క్లయింట్ - విశ్వసనీయ RDP ప్రచురణకర్తలను సూచించే ప్రమాణపత్రాల SHA1 వేలిముద్రలను పేర్కొనండి.

మాకు ఒక విధానం కావాలి.

పాలసీలో, మునుపటి దశ నుండి మనకు ఇప్పటికే తెలిసిన ముద్రణను జోడించడం సరిపోతుంది.

ఈ విధానం "చెల్లుబాటు అయ్యే ప్రచురణకర్తలు మరియు అనుకూల డిఫాల్ట్ RDP సెట్టింగ్‌ల నుండి RDP ఫైల్‌లను అనుమతించు" విధానాన్ని భర్తీ చేస్తుందని గమనించాలి.

కాన్ఫిగర్ చేయబడిన విధానం.

Voila, ఇప్పుడు వింత ప్రశ్నలు లేవు - లాగిన్-పాస్‌వర్డ్ అభ్యర్థన మాత్రమే. మ్...

దశ మూడు. సర్వర్‌కు పారదర్శక లాగిన్

నిజానికి, మేము ఇప్పటికే డొమైన్ కంప్యూటర్‌కు లాగిన్ చేసి ఉంటే, అదే లాగిన్ మరియు పాస్‌వర్డ్‌ను మనం ఎందుకు మళ్లీ నమోదు చేయాలి? "పారదర్శకంగా" సర్వర్‌కు ఆధారాలను పాస్ చేద్దాం. సాధారణ RDP విషయంలో (RDS గేట్‌వేని ఉపయోగించకుండా), మేము రక్షించటానికి వస్తాము ... అది నిజం, సమూహ విధానం.

మేము విభాగానికి వెళ్తాము: కంప్యూటర్ కాన్ఫిగరేషన్ - విధానాలు - అడ్మినిస్ట్రేటివ్ టెంప్లేట్‌లు - సిస్టమ్ - పాస్సింగ్ క్రెడెన్షియల్స్ - డిఫాల్ట్ ఆధారాలను బదిలీ చేయడానికి అనుమతించండి.

ఇక్కడ మీరు జాబితాకు అవసరమైన సర్వర్‌లను జోడించవచ్చు లేదా వైల్డ్‌కార్డ్‌ని ఉపయోగించవచ్చు. లాగా ఉంటుంది TERMSRV/trm.contoso.com లేదా TERMSRV/*.contoso.com.

కాన్ఫిగర్ చేయబడిన విధానం.

ఇప్పుడు, మీరు మా లేబుల్‌ను చూస్తే, ఇది ఇలా కనిపిస్తుంది:

వినియోగదారు పేరును మార్చవద్దు.

RDS గేట్‌వే ఉపయోగించినట్లయితే, మీరు దానిపై డేటా బదిలీని కూడా అనుమతించాలి. దీన్ని చేయడానికి, IIS మేనేజర్‌లో, మీరు "ప్రామాణీకరణ పద్ధతులు"లో అనామక ప్రమాణీకరణను నిలిపివేయాలి మరియు Windows ప్రమాణీకరణను ప్రారంభించాలి.

కాన్ఫిగర్ చేయబడిన IIS.

ఆదేశంతో వెబ్ సేవలను పునఃప్రారంభించడం మర్చిపోవద్దు:

iisreset /noforce

ఇప్పుడు అంతా బాగానే ఉంది, ప్రశ్నలు మరియు అభ్యర్థనలు లేవు.

నమోదు చేసుకున్న వినియోగదారులు మాత్రమే సర్వేలో పాల్గొనగలరు. సైన్ ఇన్ చేయండిదయచేసి.

నాకు చెప్పండి, మీరు మీ వినియోగదారుల కోసం RDP లేబుల్‌లపై సంతకం చేస్తారా?

• 43%లేదు, వారు చదవకుండానే సందేశాలలో “సరే” నొక్కడానికి శిక్షణ పొందారు, కొందరు “మళ్లీ అడగవద్దు” చెక్‌బాక్స్‌లను కూడా ఉంచారు.28

• 29.2%నేను జాగ్రత్తగా నా చేతులతో లేబుల్‌ని ఉంచుతాను మరియు ప్రతి వినియోగదారుతో కలిసి సర్వర్‌కి మొదటి లాగిన్ చేస్తాను.19

• 6.1%వాస్తవానికి, నేను క్రమంలో ప్రతిదీ ఇష్టం.4

• 21.5%నేను టెర్మినల్ సర్వర్‌లను ఉపయోగించను.14

65 మంది వినియోగదారులు ఓటు వేశారు. 14 మంది వినియోగదారులు దూరంగా ఉన్నారు.

మూలం: www.habr.com