Нещодавно ми впроваджували рішення на термінальному сервері Windows. Як водиться, кинули на робочі столи співробітникам ярлики для підключення і сказали – працюйте. Але користувачі виявилися зашуганими щодо КіберБезпеки. І при підключенні до сервера, бачачи повідомлення на кшталт: «Ви довіряєте цьому серверу? Точнісінько?», лякалися і зверталися до нас — а чи все добре, можна натискати на ОК? Тоді й було вирішено зробити все красиво, щоб жодних питань та паніки.
Якщо ваші користувачі все ще приходять до вас із подібними страхами, і вам набридло ставити галочку «Більше не питати» — ласкаво просимо під кат.
Крок нульовий. Підготовка та питання довіри
Отже, наш користувач тикає на збережений файл з розширенням .rdp і отримує такий запит:
«Шкідливе» підключення.
Для позбавлення цього вікна використовується спеціальна утиліта під назвою RDPSign.exe. Повна документація доступна, як завжди, на
Для початку нам потрібно взяти сертифікат для підписування файлу. Він може бути:
- Публічним.
- Виданий внутрішньою службою Certificate Authority.
- Зовсім самопідписаним.
Найголовніше, щоб сертифікат мав можливість підписувати (так, можна відібрати
у бухгалтерів ЕЦП), а клієнтські ПК йому довіряли. Тут я використовуватиму самопідписаний сертифікат.
Нагадаю, що довіру до самопідписаного сертифікату можна організувати за допомогою групових політик. Трохи більше подробиць – під спойлером.
Як зробити сертифікат довіреним за допомогою магії GPO
Для початку потрібно взяти наявний сертифікат без закритого ключа у форматі .cer (це можна зробити, експортувавши сертифікат з оснастки «Сертифікати») і покласти його в папку мережі, доступну користувачам для читання. Після цього можна налаштувати групову політику.
Імпорт сертифіката налаштовується в розділі: Конфігурація комп'ютера — Політики — Конфігурація Windows — Параметри безпеки — Політики відкритого ключа — Довірені центри сертифікації. Далі правою кнопкою миші імпортуємо сертифікат.
Налаштована політика.
Тепер клієнтські ПК довірятимуть самопідписаному сертифікату.
Якщо проблеми з довірою вирішено, переходимо безпосередньо до питання підпису.
Крок перший. Розмашисто підписуємо файл
Сертифікат є, тепер потрібно дізнатися про його відбиток. Просто відкриємо його в оснастці «Сертифікати» та скопіюємо на вкладці «Склад».
Потрібен нам відбиток.
Краще одразу його привести до належного вигляду – лише великі літери і без прогалин, якщо вони є. Це зручно зробити в консолі PowerShell командою:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Отримавши відбиток у потрібному форматі, можна сміливо підписувати файл rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Де .contoso.rdp – абсолютний чи відносний шлях до нашого файлу.
Після того, як файл підписаний, вже не вдасться змінити частину параметрів через графічний інтерфейс на кшталт імені сервера (справді, інакше сенс підписувати?) А якщо поміняти налаштування текстовим редактором, то підпис «злітає».
Тепер при подвійному кліку по ярлику повідомлення буде іншим:
Нове повідомлення. Колір менш небезпечний, прогрес.
Позбавимося ж і його.
Крок другий. І знову питання довіри
Для позбавлення цього повідомлення нам знову знадобиться групова політика. Цього разу дорога лежить у розділі Конфігурація комп'ютера — Політики — Адміністративні шаблони — Компоненти Windows — Служби віддалених робочих столів — Клієнт підключення до віддаленого робочого столу — Вказати відбитки сертифікатів SHA1, що представляють довірених видавців RDP.
Потрібна політика.
У політиці достатньо додати вже знайомий нам відбиток із попереднього кроку.
Варто зазначити, що ця політика перекриває політику «Дозволяти RDP-файли від допустимих видавців та параметри користувача RDP, задані за замовчуванням».
Налаштована політика.
Вуаля, тепер жодних дивних питань – лише запит логіна-паролю. Хм…
Крок третій. Прозорий вхід на сервер
Справді, якщо ми вже авторизувалися при вході на доменний комп'ютер, то навіщо нам повторно вводити той же логін і пароль? Передамо облікові дані на сервер «прозоро». У випадку з простим RDP (без використання RDS Gateway) нам допоможе… Правильно, групова політика.
Йдемо до розділу: Конфігурація комп'ютера — Політики — Адміністративні шаблони — Система — Передача облікових даних — Дозволити надсилання облікових даних, встановлених за замовчуванням.
Тут можна додати до списку потрібні сервери або використовувати wildcard. Виглядати це буде як TERMSRV/trm.contoso.com або TERMSRV/*. contoso.com.
Налаштована політика.
Тепер, якщо подивитися на наш ярлик, то виглядатиме він приблизно так:
Ім'я користувача не міняти.
Якщо використовується RDS Gateway, знадобиться ще й дозволити на ньому передачу даних. Для цього в диспетчері IIS потрібно в "Методах автентифікації" вимкнути анонімну перевірку і включити автентифікацію Windows.
Налаштований IIS.
Не забуваємо після завершення перезапустити веб-сервіси командою:
iisreset /noforce
Ось тепер все добре, жодних запитань та запитів.
Тільки зареєстровані користувачі можуть брати участь в опитуванні.
Розкажіть, а ви підписуєте ярлики RDP своїм користувачам?
-
43%Ні, вони привчені тиснути на «ОК» у повідомленнях, не читаючи, деякі навіть самі галки ставлять «Більше не питати».
-
29.2%Сам акуратно руками кладу ярличок і перший вхід на сервер роблю разом з кожним користувачем.
-
6.1%Звичайно, я люблю у всьому порядок.
-
21.5%Не використовую термінальні сервери.14
Проголосували 65 користувачів. Утрималися 14 користувачів.
Джерело: habr.com