โปรโฮสต์ > บล็อก > การบริหาร > กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

ไม่นานมานี้เราได้นำโซลูชันไปใช้งานบนเทอร์มินัลเซิร์ฟเวอร์ Windows ตามปกติแล้วพวกเขาโยนทางลัดเพื่อเชื่อมต่อกับเดสก์ท็อปของพนักงานแล้วพูดว่า - ทำงาน แต่ผู้ใช้กลับกลายเป็นว่าถูกข่มขู่ในแง่ของความปลอดภัยทางไซเบอร์ และเมื่อเชื่อมต่อกับเซิร์ฟเวอร์ จะเห็นข้อความเช่น “คุณเชื่อถือเซิร์ฟเวอร์นี้หรือไม่? เป๊ะเลย?” พวกเขากลัวและหันมาหาเรา - แต่ทุกอย่างโอเคไหม ฉันจะคลิกตกลงได้ไหม จากนั้นก็ตัดสินใจทำทุกอย่างให้สวยงามเพื่อไม่ให้มีคำถามหรือตื่นตระหนก

หากผู้ใช้ของคุณยังคงมาหาคุณด้วยความกลัวแบบเดียวกัน และคุณเบื่อที่จะทำเครื่องหมาย "อย่าถามอีก" - ยินดีต้อนรับภายใต้ cat

ขั้นตอนเป็นศูนย์ ปัญหาการฝึกอบรมและความน่าเชื่อถือ

ดังนั้น ผู้ใช้ของเราจึงคลิกไฟล์ที่บันทึกซึ่งมีนามสกุล .rdp และได้รับคำขอต่อไปนี้:

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

การเชื่อมต่อ "ที่เป็นอันตราย".

หากต้องการกำจัดหน้าต่างนี้ ให้ใช้ยูทิลิตี้พิเศษที่เรียกว่า RDPSign.exe เอกสารฉบับเต็มได้ตามปกติที่ เว็บไซต์อย่างเป็นทางการและเราจะดูตัวอย่างการใช้งาน

ขั้นแรกเราต้องใช้ใบรับรองเพื่อลงนามไฟล์ เขาสามารถ:

  • สาธารณะ.
  • ออกโดยบริการผู้ออกใบรับรองภายใน
  • ลงนามด้วยตนเองโดยสมบูรณ์

สิ่งที่สำคัญที่สุดคือใบรับรองมีความสามารถในการลงนาม (ใช่ คุณสามารถเลือกได้
นักบัญชี EDS) และเครื่องคอมพิวเตอร์ไคลเอนต์ไว้วางใจเขา ที่นี่ฉันจะใช้ใบรับรองที่ลงนามด้วยตนเอง

ฉันขอเตือนคุณว่าความไว้วางใจในใบรับรองที่ลงนามเองสามารถจัดระเบียบได้โดยใช้นโยบายกลุ่ม รายละเอียดเพิ่มเติมเล็กน้อยอยู่ใต้สปอยเลอร์

วิธีสร้างใบรับรองที่เชื่อถือได้โดยใช้ Magic of GPO

ขั้นแรก คุณต้องนำใบรับรองที่มีอยู่โดยไม่มีคีย์ส่วนตัวในรูปแบบ .cer (ซึ่งสามารถทำได้โดยการส่งออกใบรับรองจากสแน็ปอินใบรับรอง) และวางไว้ในโฟลเดอร์เครือข่ายที่ผู้ใช้สามารถเข้าถึงได้เพื่อการอ่าน หลังจากนั้นคุณสามารถกำหนดค่านโยบายกลุ่มได้

การนำเข้าใบรับรองได้รับการกำหนดค่าในส่วน: การกำหนดค่าคอมพิวเตอร์ - นโยบาย - การกำหนดค่า Windows - การตั้งค่าความปลอดภัย - นโยบายคีย์สาธารณะ - ผู้ออกใบรับรองหลักที่เชื่อถือได้ จากนั้นคลิกขวาเพื่อนำเข้าใบรับรอง

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

นโยบายที่กำหนดค่าไว้

ขณะนี้พีซีไคลเอนต์จะเชื่อถือใบรับรองที่ลงนามด้วยตนเอง

หากปัญหาความน่าเชื่อถือได้รับการแก้ไข เราจะไปที่ปัญหาลายเซ็นโดยตรง

ขั้นตอนแรก. เราลงนามไฟล์ในลักษณะที่กว้างขวาง

มีใบรับรองแล้ว ตอนนี้คุณต้องค้นหาลายนิ้วมือของมัน เพียงเปิดมันในสแนปอิน “ใบรับรอง” แล้วคัดลอกไปที่แท็บ “องค์ประกอบ”

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

ลายนิ้วมือที่เราต้องการ

ควรนำไปไว้ในรูปแบบที่เหมาะสมทันที - เฉพาะตัวพิมพ์ใหญ่และไม่มีช่องว่าง (ถ้ามี) สะดวกในการทำเช่นนี้ในคอนโซล PowerShell ด้วยคำสั่ง:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

เมื่อได้รับการพิมพ์ในรูปแบบที่ต้องการแล้วคุณสามารถเซ็นชื่อไฟล์ rdp ได้อย่างปลอดภัย:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

โดยที่ .contoso.rdp เป็นเส้นทางสัมบูรณ์หรือเส้นทางสัมพันธ์ไปยังไฟล์ของเรา

หลังจากที่ไฟล์ถูกเซ็นชื่อแล้ว จะไม่สามารถเปลี่ยนแปลงพารามิเตอร์บางอย่างผ่านทางอินเทอร์เฟซแบบกราฟิกได้อีกต่อไป เช่น ชื่อเซิร์ฟเวอร์ (จริงๆ แล้ว มิฉะนั้น จุดประสงค์ของการเซ็นชื่อคืออะไร) และหากคุณเปลี่ยนการตั้งค่าด้วยโปรแกรมแก้ไขข้อความ จากนั้นลายเซ็น "แมลงวัน"

ตอนนี้เมื่อคุณดับเบิลคลิกที่ทางลัด ข้อความจะแตกต่างออกไป:

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

ข้อความใหม่ สีอันตรายน้อยกว่า คืบหน้าไปแล้ว

กำจัดเขาด้วย

ขั้นตอนที่สอง และอีกครั้งคำถามเกี่ยวกับความไว้วางใจ

เพื่อกำจัดข้อความนี้ เราจำเป็นต้องมีนโยบายกลุ่มอีกครั้ง คราวนี้ถนนอยู่ในส่วนการกำหนดค่าคอมพิวเตอร์ - นโยบาย - เทมเพลตการดูแลระบบ - ส่วนประกอบของ Windows - บริการเดสก์ท็อประยะไกล - ไคลเอ็นต์การเชื่อมต่อเดสก์ท็อประยะไกล - ระบุลายนิ้วมือ SHA1 ของใบรับรองที่แสดงถึงผู้เผยแพร่ RDP ที่เชื่อถือได้

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

นโยบายที่เราต้องการ

ในทางการเมืองก็เพียงพอที่จะเพิ่มลายนิ้วมือที่เราคุ้นเคยจากขั้นตอนที่แล้ว

เป็นที่น่าสังเกตว่านโยบายนี้จะแทนที่นโยบาย "อนุญาตไฟล์ RDP จากผู้เผยแพร่ที่ถูกต้องและการตั้งค่า RDP เริ่มต้นที่กำหนดเอง"

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

นโยบายที่กำหนดค่าไว้

Voila ตอนนี้ไม่มีคำถามแปลก ๆ - เป็นเพียงคำขอเข้าสู่ระบบและรหัสผ่าน อืม...

ขั้นตอนที่สาม การเข้าสู่ระบบเซิร์ฟเวอร์อย่างโปร่งใส

จริงๆ แล้ว ถ้าเราเข้าสู่ระบบคอมพิวเตอร์โดเมนแล้ว ทำไมเราจึงต้องป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านเดิมอีกครั้ง ส่งข้อมูลรับรองไปยังเซิร์ฟเวอร์ "โปร่งใส" ในกรณี RDP แบบธรรมดา (โดยไม่ต้องใช้ RDS Gateway) เราจะมาช่วยเหลือ ... ถูกต้องนโยบายกลุ่ม

Идем в раздел: Конфигурация компьютера — Политики — Административные шаблоны — Система — Передача учетных данных — Разрешить передачу учетных данных, установленных по умолчанию.

ที่นี่คุณสามารถเพิ่มเซิร์ฟเวอร์ที่จำเป็นลงในรายการหรือใช้ไวด์การ์ดได้ ก็จะมีลักษณะเช่นนี้ TERMSRV/trm.contoso.com หรือ TERMSRV/*.contoso.com

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

นโยบายที่กำหนดค่าไว้

ตอนนี้ ถ้าคุณดูที่ฉลากของเรา มันจะมีลักษณะดังนี้:

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

ชื่อผู้ใช้ไม่สามารถเปลี่ยนแปลงได้

หากใช้เกตเวย์ RDS คุณจะต้องอนุญาตการถ่ายโอนข้อมูลด้วย ในการดำเนินการนี้ใน IIS Manager คุณต้องปิดใช้งานการตรวจสอบแบบไม่ระบุชื่อใน "วิธีการรับรองความถูกต้อง" และเปิดใช้งานการรับรองความถูกต้องของ Windows

กำจัดคำเตือนที่น่ารำคาญเมื่อเข้าสู่ระบบเทอร์มินัลเซิร์ฟเวอร์

กำหนดค่า IIS แล้ว

อย่าลืมรีสตาร์ทบริการเว็บเมื่อเสร็จสิ้นด้วยคำสั่ง:

iisreset /noforce

ตอนนี้ทุกอย่างเรียบร้อยดี ไม่มีคำถามและการร้องขอใด ๆ

เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้ เข้าสู่ระบบ, โปรด.

บอกฉันหน่อยว่าคุณลงนามป้ายกำกับ RDP ให้กับผู้ใช้ของคุณหรือไม่

  • ลด 43%ไม่ พวกเขาถูกฝึกให้กด "ตกลง" ในข้อความโดยไม่ต้องอ่าน บางคนถึงกับใส่ช่องทำเครื่องหมาย "อย่าถามอีก" ด้วยซ้ำ28

  • ลด 29.2%ฉันวางป้ายกำกับด้วยมือของฉันอย่างระมัดระวังและทำการล็อกอินเข้าสู่เซิร์ฟเวอร์เป็นครั้งแรกพร้อมกับผู้ใช้แต่ละคน19

  • ลด 6.1%แน่นอนฉันชอบความเป็นระเบียบในทุกสิ่ง4

  • ลด 21.5%ฉันไม่ได้ใช้เทอร์มินัลเซิร์ฟเวอร์14

ผู้ใช้ 65 คนโหวต ผู้ใช้ 14 รายงดออกเสียง

ที่มา: will.com

เพิ่มความคิดเห็น