Нещодавно ми впроваджували рішення на термінальному сервері Windows. Як водиться, кинули на робочі столи співробітникам ярлики для підключення і сказали – працюйте. Але користувачі виявилися зашуганими щодо КіберБезпеки. І при підключенні до сервера, бачачи повідомлення на кшталт: «Ви довіряєте цьому серверу? Точнісінько?», лякалися і зверталися до нас — а чи все добре, можна натискати на ОК? Тоді й було вирішено зробити все красиво, щоб жодних питань та паніки.

Якщо ваші користувачі все ще приходять до вас із подібними страхами, і вам набридло ставити галочку «Більше не питати» — ласкаво просимо під кат.

Крок нульовий. Підготовка та питання довіри

Отже, наш користувач тикає на збережений файл з розширенням .rdp і отримує такий запит:

«Шкідливе» підключення.

Для позбавлення цього вікна використовується спеціальна утиліта під назвою RDPSign.exe. Повна документація доступна, як завжди, на офіційному сайтіа ми розберемо приклад використання.

Для початку нам потрібно взяти сертифікат для підписування файлу. Він може бути:

• Публічним.
• Виданий внутрішньою службою Certificate Authority.
• Зовсім самопідписаним.

Найголовніше, щоб сертифікат мав можливість підписувати (так, можна відібрати
у бухгалтерів ЕЦП), а клієнтські ПК йому довіряли. Тут я використовуватиму самопідписаний сертифікат.

Нагадаю, що довіру до самопідписаного сертифікату можна організувати за допомогою групових політик. Трохи більше подробиць – під спойлером.

Як зробити сертифікат довіреним за допомогою магії GPO

Для початку потрібно взяти наявний сертифікат без закритого ключа у форматі .cer (це можна зробити, експортувавши сертифікат з оснастки «Сертифікати») і покласти його в папку мережі, доступну користувачам для читання. Після цього можна налаштувати групову політику.

Імпорт сертифіката налаштовується в розділі: Конфігурація комп'ютера — Політики — Конфігурація Windows — Параметри безпеки — Політики відкритого ключа — Довірені центри сертифікації. Далі правою кнопкою миші імпортуємо сертифікат.

Налаштована політика.

Тепер клієнтські ПК довірятимуть самопідписаному сертифікату.

Якщо проблеми з довірою вирішено, переходимо безпосередньо до питання підпису.

Крок перший. Розмашисто підписуємо файл

Сертифікат є, тепер потрібно дізнатися про його відбиток. Просто відкриємо його в оснастці «Сертифікати» та скопіюємо на вкладці «Склад».

Потрібен нам відбиток.

Краще одразу його привести до належного вигляду – лише великі літери і без прогалин, якщо вони є. Це зручно зробити в консолі PowerShell командою:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Отримавши відбиток у потрібному форматі, можна сміливо підписувати файл rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Де .contoso.rdp – абсолютний чи відносний шлях до нашого файлу.

Після того, як файл підписаний, вже не вдасться змінити частину параметрів через графічний інтерфейс на кшталт імені сервера (справді, інакше сенс підписувати?) А якщо поміняти налаштування текстовим редактором, то підпис «злітає».

Тепер при подвійному кліку по ярлику повідомлення буде іншим:

Нове повідомлення. Колір менш небезпечний, прогрес.

Позбавимося ж і його.

Крок другий. І знову питання довіри

Для позбавлення цього повідомлення нам знову знадобиться групова політика. Цього разу дорога лежить у розділі Конфігурація комп'ютера — Політики — Адміністративні шаблони — Компоненти Windows — Служби віддалених робочих столів — Клієнт підключення до віддаленого робочого столу — Вказати відбитки сертифікатів SHA1, що представляють довірених видавців RDP.

Потрібна політика.

У політиці достатньо додати вже знайомий нам відбиток із попереднього кроку.

Варто зазначити, що ця політика перекриває політику «Дозволяти RDP-файли від допустимих видавців та параметри користувача RDP, задані за замовчуванням».

Налаштована політика.

Вуаля, тепер жодних дивних питань – лише запит логіна-паролю. Хм…

Крок третій. Прозорий вхід на сервер

Справді, якщо ми вже авторизувалися при вході на доменний комп'ютер, то навіщо нам повторно вводити той же логін і пароль? Передамо облікові дані на сервер «прозоро». У випадку з простим RDP (без використання RDS Gateway) нам допоможе… Правильно, групова політика.

Йдемо до розділу: Конфігурація комп'ютера — Політики — Адміністративні шаблони — Система — Передача облікових даних — Дозволити надсилання облікових даних, встановлених за замовчуванням.

Тут можна додати до списку потрібні сервери або використовувати wildcard. Виглядати це буде як TERMSRV/trm.contoso.com або TERMSRV/*. contoso.com.

Налаштована політика.

Тепер, якщо подивитися на наш ярлик, то виглядатиме він приблизно так:

Ім'я користувача не міняти.

Якщо використовується RDS Gateway, знадобиться ще й дозволити на ньому передачу даних. Для цього в диспетчері IIS потрібно в "Методах автентифікації" вимкнути анонімну перевірку і включити автентифікацію Windows.

Налаштований IIS.

Не забуваємо після завершення перезапустити веб-сервіси командою:

iisreset /noforce

Ось тепер все добре, жодних запитань та запитів.

Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.

Розкажіть, а ви підписуєте ярлики RDP своїм користувачам?

• 43%Ні, вони привчені тиснути на «ОК» у повідомленнях, не читаючи, деякі навіть самі галки ставлять «Більше не питати».

• 29.2%Сам акуратно руками кладу ярличок і перший вхід на сервер роблю разом з кожним користувачем.

• 6.1%Звичайно, я люблю у всьому порядок.

• 21.5%Не використовую термінальні сервери.14

Проголосували 65 користувачів. Утрималися 14 користувачів.

Джерело: habr.com