Hindi pa katagal, nagpatupad kami ng solusyon sa isang Windows terminal server. Gaya ng dati, naghagis sila ng mga shortcut para sa pagkonekta sa mga desktop ng mga empleyado, at sinabing - trabaho. Ngunit ang mga gumagamit ay natakot sa Cybersecurity. At kapag kumokonekta sa server, nakakakita ng mga mensahe tulad ng: βNagtitiwala ka ba sa server na ito? Eksakto, eksakto?", Natakot sila at lumingon sa amin - ngunit okay ba ang lahat, maaari ba akong mag-click sa OK? Pagkatapos ay napagpasyahan na gawin ang lahat nang maganda, upang walang mga tanong o gulat.
Kung ang iyong mga gumagamit ay pumupunta pa rin sa iyo na may katulad na mga takot, at ikaw ay pagod sa pag-tick ng "Huwag magtanong muli" - maligayang pagdating sa ilalim ng pusa.
Walang hakbang. Mga Isyu sa Pagsasanay at Pagtitiwala
Kaya, nag-click ang aming user sa naka-save na file na may extension na .rdp at natatanggap ang sumusunod na kahilingan:
Nakakahamak na koneksyon.
Upang mapupuksa ang window na ito, gumamit ng isang espesyal na utility na tinatawag RDPSign.exe. Ang buong dokumentasyon ay makukuha, gaya ng dati, sa , at susuriin namin ang isang halimbawa ng paggamit.
Una kailangan naming kumuha ng sertipiko para lagdaan ang file. Siya ay maaaring:
- Pampubliko.
- Inisyu ng isang panloob na Awtoridad ng Sertipiko.
- Ganap na self-signed.
Ang pinakamahalagang bagay ay ang sertipiko ay may kakayahang mag-sign (oo, maaari mong piliin
EDS accountant), at nagtiwala sa kanya ang mga client PC. Dito ako gagamit ng self-signed certificate.
Ipaalala ko sa iyo na ang pagtitiwala sa isang self-signed certificate ay maaaring ayusin gamit ang mga patakaran ng grupo. Ang kaunti pang mga detalye - sa ilalim ng spoiler.
Paano Gumawa ng Certificate na Pinagkakatiwalaan sa Magic ng GPO
Una, kailangan mong kumuha ng kasalukuyang certificate na walang pribadong key sa .cer na format (magagawa ito sa pamamagitan ng pag-export ng certificate mula sa Certificates snap-in) at ilagay ito sa isang network folder na naa-access ng mga user para sa pagbabasa. Pagkatapos nito, maaari mong i-configure ang Patakaran ng Grupo.
Ang pag-import ng certificate ay naka-configure sa seksyong: Computer Configuration - Mga Patakaran - Windows Configuration - Security Settings - Public Key Policy - Trusted Root Certification Authority. Susunod, i-right-click upang i-import ang certificate.
Ang naka-configure na patakaran.
Ang mga client PC ay magtitiwala na ngayon sa self-signed certificate.
Kung naresolba ang mga isyu sa tiwala, direkta kaming pupunta sa isyu sa lagda.
Unang hakbang. Nagwawalis na pumipirma sa file
May sertipiko, ngayon kailangan mong malaman ang fingerprint nito. Buksan lamang ito sa snap-in na "Mga Sertipiko" at kopyahin ito sa tab na "Komposisyon".
Kailangan namin ang imprint.
Mas mainam na agad itong dalhin sa tamang anyo - mga malalaking titik lamang at walang mga puwang, kung mayroon man. Maginhawang gawin ito sa PowerShell console gamit ang utos:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Ang pagkakaroon ng nakatanggap ng isang print sa nais na format, maaari mong ligtas na lagdaan ang rdp file:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Kung saan ang .contoso.rdp ay ang absolute o relative path sa aming file.
Pagkatapos mapirmahan ang file, hindi na posibleng baguhin ang ilan sa mga parameter sa pamamagitan ng graphical na interface, tulad ng pangalan ng server (talaga, kung hindi, ano ang punto ng pagpirma?) At kung babaguhin mo ang mga setting gamit ang isang text editor, tapos yung signature "flies".
Ngayon, kapag nag-double click ka sa label, mag-iiba ang mensahe:
Isang bagong mensahe. Ang kulay ay hindi gaanong mapanganib, umuunlad na.
Paalisin na rin natin siya.
Ikalawang hakbang. At muli mga tanong ng tiwala
Upang maalis ang mensaheng ito, kailangan namin muli ng patakaran ng grupo. Sa pagkakataong ito ang kalsada ay nasa seksyong Computer Configuration - Mga Patakaran - Administrative Templates - Windows Components - Remote Desktop Services - Remote Desktop Connection Client - Tukuyin ang SHA1 fingerprint ng mga certificate na kumakatawan sa mga pinagkakatiwalaang publisher ng RDP.
Kailangan natin ng patakaran.
Sa patakaran, sapat na upang idagdag ang imprint na pamilyar sa amin mula sa nakaraang hakbang.
Kapansin-pansin na in-override ng patakarang ito ang patakarang "Pahintulutan ang mga RDP file mula sa mga wastong publisher at custom na default na setting ng RDP."
Ang naka-configure na patakaran.
Voila, ngayon ay walang mga kakaibang tanong - isang kahilingan lamang sa pag-login-password. Hmβ¦
Ikatlong hakbang. Transparent na pag-login sa server
Sa katunayan, kung naka-log in na tayo sa domain computer, bakit kailangan nating muling ipasok ang parehong login at password? Ipasa natin ang mga kredensyal sa server nang "transparently". Sa kaso ng simpleng RDP (nang hindi gumagamit ng RDS Gateway), ililigtas tayo ... Tama, patakaran ng grupo.
Pumunta kami sa seksyon: Computer Configuration - Mga Patakaran - Administrative Templates - System - Pagpasa ng mga kredensyal - Payagan ang paglipat ng mga default na kredensyal.
Dito maaari mong idagdag ang mga kinakailangang server sa listahan o gumamit ng wildcard. Magiging parang TERMSRV/trm.contoso.com o TERMSRV/*.contoso.com.
Ang naka-configure na patakaran.
Ngayon, kung titingnan natin ang aming label, magiging ganito ang hitsura:
Huwag baguhin ang username.
Kung gagamitin ang RDS Gateway, kakailanganin mo ring payagan ang paglipat ng data dito. Upang gawin ito, sa tagapamahala ng IIS, kailangan mong huwag paganahin ang hindi kilalang pagpapatunay sa "Mga Paraan ng Pagpapatunay" at paganahin ang pagpapatunay ng Windows.
na-configure ang IIS.
Huwag kalimutang i-restart ang mga serbisyo sa web gamit ang utos:
iisreset /noforce
Ngayon ay maayos na ang lahat, walang mga tanong at kahilingan.
Ang mga rehistradong user lamang ang maaaring lumahok sa survey. , pakiusap
Sabihin mo sa akin, pinipirmahan mo ba ang mga label ng RDP para sa iyong mga user?
-
43%Hindi, sila ay sinanay na pindutin ang "OK" sa mga mensahe nang hindi nagbabasa, ang ilan ay naglalagay pa nga ng "Huwag nang magtanong muli" sa kanilang mga sarili.28
-
29.2%Maingat kong inilalagay ang label gamit ang aking mga kamay at ginagawa ang unang pag-log in sa server kasama ng bawat user.19
-
6.1%Siyempre, gusto ko ang lahat sa pagkakasunud-sunod.4
-
21.5%Hindi ako gumagamit ng mga terminal server.14
65 user ang bumoto. 14 na user ang umiwas.
Pinagmulan: www.habr.com