ไม่นานมานี้เราได้นำโซลูชันไปใช้งานบนเทอร์มินัลเซิร์ฟเวอร์ Windows ตามปกติแล้วพวกเขาโยนทางลัดเพื่อเชื่อมต่อกับเดสก์ท็อปของพนักงานแล้วพูดว่า - ทำงาน แต่ผู้ใช้กลับกลายเป็นว่าถูกข่มขู่ในแง่ของความปลอดภัยทางไซเบอร์ และเมื่อเชื่อมต่อกับเซิร์ฟเวอร์ จะเห็นข้อความเช่น “คุณเชื่อถือเซิร์ฟเวอร์นี้หรือไม่? เป๊ะเลย?” พวกเขากลัวและหันมาหาเรา - แต่ทุกอย่างโอเคไหม ฉันจะคลิกตกลงได้ไหม จากนั้นก็ตัดสินใจทำทุกอย่างให้สวยงามเพื่อไม่ให้มีคำถามหรือตื่นตระหนก
หากผู้ใช้ของคุณยังคงมาหาคุณด้วยความกลัวแบบเดียวกัน และคุณเบื่อที่จะทำเครื่องหมาย "อย่าถามอีก" - ยินดีต้อนรับภายใต้ cat
ขั้นตอนเป็นศูนย์ ปัญหาการฝึกอบรมและความน่าเชื่อถือ
ดังนั้น ผู้ใช้ของเราจึงคลิกไฟล์ที่บันทึกซึ่งมีนามสกุล .rdp และได้รับคำขอต่อไปนี้:
การเชื่อมต่อ "ที่เป็นอันตราย".
หากต้องการกำจัดหน้าต่างนี้ ให้ใช้ยูทิลิตี้พิเศษที่เรียกว่า RDPSign.exe เอกสารฉบับเต็มได้ตามปกติที่
ขั้นแรกเราต้องใช้ใบรับรองเพื่อลงนามไฟล์ เขาสามารถ:
- สาธารณะ.
- ออกโดยบริการผู้ออกใบรับรองภายใน
- ลงนามด้วยตนเองโดยสมบูรณ์
สิ่งที่สำคัญที่สุดคือใบรับรองมีความสามารถในการลงนาม (ใช่ คุณสามารถเลือกได้
นักบัญชี EDS) และเครื่องคอมพิวเตอร์ไคลเอนต์ไว้วางใจเขา ที่นี่ฉันจะใช้ใบรับรองที่ลงนามด้วยตนเอง
ฉันขอเตือนคุณว่าความไว้วางใจในใบรับรองที่ลงนามเองสามารถจัดระเบียบได้โดยใช้นโยบายกลุ่ม รายละเอียดเพิ่มเติมเล็กน้อยอยู่ใต้สปอยเลอร์
วิธีสร้างใบรับรองที่เชื่อถือได้โดยใช้ Magic of GPO
ขั้นแรก คุณต้องนำใบรับรองที่มีอยู่โดยไม่มีคีย์ส่วนตัวในรูปแบบ .cer (ซึ่งสามารถทำได้โดยการส่งออกใบรับรองจากสแน็ปอินใบรับรอง) และวางไว้ในโฟลเดอร์เครือข่ายที่ผู้ใช้สามารถเข้าถึงได้เพื่อการอ่าน หลังจากนั้นคุณสามารถกำหนดค่านโยบายกลุ่มได้
การนำเข้าใบรับรองได้รับการกำหนดค่าในส่วน: การกำหนดค่าคอมพิวเตอร์ - นโยบาย - การกำหนดค่า Windows - การตั้งค่าความปลอดภัย - นโยบายคีย์สาธารณะ - ผู้ออกใบรับรองหลักที่เชื่อถือได้ จากนั้นคลิกขวาเพื่อนำเข้าใบรับรอง
นโยบายที่กำหนดค่าไว้
ขณะนี้พีซีไคลเอนต์จะเชื่อถือใบรับรองที่ลงนามด้วยตนเอง
หากปัญหาความน่าเชื่อถือได้รับการแก้ไข เราจะไปที่ปัญหาลายเซ็นโดยตรง
ขั้นตอนแรก. เราลงนามไฟล์ในลักษณะที่กว้างขวาง
มีใบรับรองแล้ว ตอนนี้คุณต้องค้นหาลายนิ้วมือของมัน เพียงเปิดมันในสแนปอิน “ใบรับรอง” แล้วคัดลอกไปที่แท็บ “องค์ประกอบ”
ลายนิ้วมือที่เราต้องการ
ควรนำไปไว้ในรูปแบบที่เหมาะสมทันที - เฉพาะตัวพิมพ์ใหญ่และไม่มีช่องว่าง (ถ้ามี) สะดวกในการทำเช่นนี้ในคอนโซล PowerShell ด้วยคำสั่ง:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
เมื่อได้รับการพิมพ์ในรูปแบบที่ต้องการแล้วคุณสามารถเซ็นชื่อไฟล์ rdp ได้อย่างปลอดภัย:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
โดยที่ .contoso.rdp เป็นเส้นทางสัมบูรณ์หรือเส้นทางสัมพันธ์ไปยังไฟล์ของเรา
หลังจากที่ไฟล์ถูกเซ็นชื่อแล้ว จะไม่สามารถเปลี่ยนแปลงพารามิเตอร์บางอย่างผ่านทางอินเทอร์เฟซแบบกราฟิกได้อีกต่อไป เช่น ชื่อเซิร์ฟเวอร์ (จริงๆ แล้ว มิฉะนั้น จุดประสงค์ของการเซ็นชื่อคืออะไร) และหากคุณเปลี่ยนการตั้งค่าด้วยโปรแกรมแก้ไขข้อความ จากนั้นลายเซ็น "แมลงวัน"
ตอนนี้เมื่อคุณดับเบิลคลิกที่ทางลัด ข้อความจะแตกต่างออกไป:
ข้อความใหม่ สีอันตรายน้อยกว่า คืบหน้าไปแล้ว
กำจัดเขาด้วย
ขั้นตอนที่สอง และอีกครั้งคำถามเกี่ยวกับความไว้วางใจ
เพื่อกำจัดข้อความนี้ เราจำเป็นต้องมีนโยบายกลุ่มอีกครั้ง คราวนี้ถนนอยู่ในส่วนการกำหนดค่าคอมพิวเตอร์ - นโยบาย - เทมเพลตการดูแลระบบ - ส่วนประกอบของ Windows - บริการเดสก์ท็อประยะไกล - ไคลเอ็นต์การเชื่อมต่อเดสก์ท็อประยะไกล - ระบุลายนิ้วมือ SHA1 ของใบรับรองที่แสดงถึงผู้เผยแพร่ RDP ที่เชื่อถือได้
นโยบายที่เราต้องการ
ในทางการเมืองก็เพียงพอที่จะเพิ่มลายนิ้วมือที่เราคุ้นเคยจากขั้นตอนที่แล้ว
เป็นที่น่าสังเกตว่านโยบายนี้จะแทนที่นโยบาย "อนุญาตไฟล์ RDP จากผู้เผยแพร่ที่ถูกต้องและการตั้งค่า RDP เริ่มต้นที่กำหนดเอง"
นโยบายที่กำหนดค่าไว้
Voila ตอนนี้ไม่มีคำถามแปลก ๆ - เป็นเพียงคำขอเข้าสู่ระบบและรหัสผ่าน อืม...
ขั้นตอนที่สาม การเข้าสู่ระบบเซิร์ฟเวอร์อย่างโปร่งใส
จริงๆ แล้ว ถ้าเราเข้าสู่ระบบคอมพิวเตอร์โดเมนแล้ว ทำไมเราจึงต้องป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านเดิมอีกครั้ง ส่งข้อมูลรับรองไปยังเซิร์ฟเวอร์ "โปร่งใส" ในกรณี RDP แบบธรรมดา (โดยไม่ต้องใช้ RDS Gateway) เราจะมาช่วยเหลือ ... ถูกต้องนโยบายกลุ่ม
Идем в раздел: Конфигурация компьютера — Политики — Административные шаблоны — Система — Передача учетных данных — Разрешить передачу учетных данных, установленных по умолчанию.
ที่นี่คุณสามารถเพิ่มเซิร์ฟเวอร์ที่จำเป็นลงในรายการหรือใช้ไวด์การ์ดได้ ก็จะมีลักษณะเช่นนี้ TERMSRV/trm.contoso.com หรือ TERMSRV/*.contoso.com
นโยบายที่กำหนดค่าไว้
ตอนนี้ ถ้าคุณดูที่ฉลากของเรา มันจะมีลักษณะดังนี้:
ชื่อผู้ใช้ไม่สามารถเปลี่ยนแปลงได้
หากใช้เกตเวย์ RDS คุณจะต้องอนุญาตการถ่ายโอนข้อมูลด้วย ในการดำเนินการนี้ใน IIS Manager คุณต้องปิดใช้งานการตรวจสอบแบบไม่ระบุชื่อใน "วิธีการรับรองความถูกต้อง" และเปิดใช้งานการรับรองความถูกต้องของ Windows
กำหนดค่า IIS แล้ว
อย่าลืมรีสตาร์ทบริการเว็บเมื่อเสร็จสิ้นด้วยคำสั่ง:
iisreset /noforce
ตอนนี้ทุกอย่างเรียบร้อยดี ไม่มีคำถามและการร้องขอใด ๆ
เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้
บอกฉันหน่อยว่าคุณลงนามป้ายกำกับ RDP ให้กับผู้ใช้ของคุณหรือไม่
-
ลด 43%ไม่ พวกเขาถูกฝึกให้กด "ตกลง" ในข้อความโดยไม่ต้องอ่าน บางคนถึงกับใส่ช่องทำเครื่องหมาย "อย่าถามอีก" ด้วยซ้ำ28
-
ลด 29.2%ฉันวางป้ายกำกับด้วยมือของฉันอย่างระมัดระวังและทำการล็อกอินเข้าสู่เซิร์ฟเวอร์เป็นครั้งแรกพร้อมกับผู้ใช้แต่ละคน19
-
ลด 6.1%แน่นอนฉันชอบความเป็นระเบียบในทุกสิ่ง4
-
ลด 21.5%ฉันไม่ได้ใช้เทอร์มินัลเซิร์ฟเวอร์14
ผู้ใช้ 65 คนโหวต ผู้ใช้ 14 รายงดออกเสียง
ที่มา: will.com