کچھ عرصہ پہلے، ہم نے ونڈوز ٹرمینل سرور پر ایک حل نافذ کیا تھا۔ ہمیشہ کی طرح، انہوں نے ملازمین کے ڈیسک ٹاپس سے جڑنے کے لیے شارٹ کٹ پھینکے، اور کہا - کام کرو۔ لیکن صارفین سائبرسیکیوریٹی سے خوفزدہ نکلے۔ اور سرور سے منسلک ہوتے وقت، جیسے پیغامات دیکھتے ہیں: "کیا آپ کو اس سرور پر بھروسہ ہے؟ بالکل، بالکل؟”، وہ ڈر گئے اور ہماری طرف متوجہ ہوئے - لیکن کیا سب کچھ ٹھیک ہے، کیا میں اوکے پر کلک کر سکتا ہوں؟ پھر فیصلہ ہوا کہ ہر کام خوبصورتی سے کیا جائے، تاکہ کوئی سوال یا گھبراہٹ نہ ہو۔

اگر آپ کے صارفین اب بھی اسی طرح کے خوف کے ساتھ آپ کے پاس آتے ہیں، اور آپ "دوبارہ مت پوچھیں" کا نشان لگاتے ہوئے تھک چکے ہیں - بلی کے نیچے خوش آمدید۔

صفر قدم۔ تربیت اور اعتماد کے مسائل

لہذا، ہمارا صارف .rdp ایکسٹینشن کے ساتھ محفوظ کردہ فائل پر کلک کرتا ہے اور درج ذیل درخواست وصول کرتا ہے:

بدنیتی پر مبنی کنکشن.

اس ونڈو سے چھٹکارا حاصل کرنے کے لئے، ایک خاص یوٹیلیٹی کا استعمال کریں جسے کہا جاتا ہے RDPSign.exe۔ مکمل دستاویزات دستیاب ہیں، ہمیشہ کی طرح، پر سرکاری ویب سائٹ، اور ہم استعمال کی ایک مثال کا تجزیہ کریں گے۔

سب سے پہلے ہمیں فائل پر دستخط کرنے کے لیے سرٹیفکیٹ لینے کی ضرورت ہے۔ وہ ہو سکتا ہے:

• عوام.
• داخلی سرٹیفکیٹ اتھارٹی کے ذریعہ جاری کردہ۔
• مکمل طور پر خود دستخط شدہ۔

سب سے اہم بات یہ ہے کہ سرٹیفکیٹ میں دستخط کرنے کی صلاحیت ہے (ہاں، آپ منتخب کر سکتے ہیں۔
EDS اکاؤنٹنٹس) اور کلائنٹ پی سی نے اس پر بھروسہ کیا۔ یہاں میں خود دستخط شدہ سرٹیفکیٹ استعمال کروں گا۔

میں آپ کو یاد دلاتا ہوں کہ خود دستخط شدہ سرٹیفکیٹ پر اعتماد کو گروپ پالیسیوں کا استعمال کرتے ہوئے منظم کیا جا سکتا ہے۔ تھوڑا سا مزید تفصیلات - بگاڑنے والے کے نیچے۔

جی پی او کے جادو سے سرٹیفکیٹ کو کیسے قابل اعتماد بنایا جائے۔

سب سے پہلے، آپ کو .cer فارمیٹ میں ایک پرائیویٹ کلید کے بغیر ایک موجودہ سرٹیفکیٹ لینے کی ضرورت ہے (یہ سرٹیفکیٹ اسنیپ ان سے سرٹیفکیٹ ایکسپورٹ کرکے کیا جا سکتا ہے) اور اسے نیٹ ورک فولڈر میں ڈالیں جو صارفین کو پڑھنے کے لیے قابل رسائی ہو۔ اس کے بعد، آپ گروپ پالیسی تشکیل دے سکتے ہیں۔

سرٹیفکیٹ درآمد کرنا سیکشن میں ترتیب دیا گیا ہے: کمپیوٹر کنفیگریشن - پالیسیاں - ونڈوز کنفیگریشن - سیکیورٹی سیٹنگز - پبلک کلیدی پالیسیاں - ٹرسٹڈ روٹ سرٹیفیکیشن اتھارٹیز۔ اگلا، سرٹیفکیٹ درآمد کرنے کے لیے دائیں کلک کریں۔

تشکیل شدہ پالیسی۔

کلائنٹ پی سی اب خود دستخط شدہ سرٹیفکیٹ پر بھروسہ کریں گے۔

اگر اعتماد کے مسائل حل ہو جاتے ہیں، تو ہم براہ راست دستخط کے مسئلے پر جاتے ہیں۔

پہلا قدم. جھاڑو پھیر کر فائل پر دستخط کر رہے ہیں۔

ایک سرٹیفکیٹ ہے، اب آپ کو اس کا فنگر پرنٹ معلوم کرنا ہوگا۔ بس اسے "سرٹیفکیٹس" اسنیپ ان میں کھولیں اور اسے "کمپوزیشن" ٹیب پر کاپی کریں۔

ہمیں امپرنٹ کی ضرورت ہے۔

اسے فوری طور پر مناسب شکل میں لانا بہتر ہے - صرف بڑے حروف اور خالی جگہوں کے بغیر، اگر کوئی ہو۔ کمانڈ کے ساتھ پاور شیل کنسول میں ایسا کرنا آسان ہے:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

مطلوبہ فارمیٹ میں پرنٹ حاصل کرنے کے بعد، آپ محفوظ طریقے سے rdp فائل پر دستخط کر سکتے ہیں:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

جہاں .contoso.rdp ہماری فائل کا مطلق یا رشتہ دار راستہ ہے۔

فائل پر دستخط ہونے کے بعد، گرافیکل انٹرفیس کے ذریعے کچھ پیرامیٹرز کو تبدیل کرنا ممکن نہیں رہے گا، جیسے کہ سرور کا نام (واقعی، ورنہ دستخط کرنے کا کیا فائدہ؟) اور اگر آپ ٹیکسٹ ایڈیٹر کے ساتھ سیٹنگز کو تبدیل کرتے ہیں، پھر دستخط "مکھی"۔

اب، جب آپ لیبل پر ڈبل کلک کریں گے، تو پیغام مختلف ہوگا:

ایک نیا پیغام۔ رنگ کم خطرناک ہے، پہلے سے ہی ترقی.

چلو اس سے بھی جان چھڑوائیں۔

دوسرا مرحلہ۔ اور پھر اعتماد کے سوالات

اس پیغام سے جان چھڑانے کے لیے ہمیں دوبارہ ایک گروپ پالیسی کی ضرورت ہے۔ اس بار سڑک کمپیوٹر کنفیگریشن - پالیسیاں - انتظامی ٹیمپلیٹس - ونڈوز کے اجزاء - ریموٹ ڈیسک ٹاپ سروسز - ریموٹ ڈیسک ٹاپ کنکشن کلائنٹ - قابل اعتماد RDP پبلشرز کی نمائندگی کرنے والے سرٹیفکیٹس کے SHA1 فنگر پرنٹس کی وضاحت کریں۔

ہمیں ایک پالیسی کی ضرورت ہے۔

پالیسی میں، پچھلے مرحلے سے ہمارے لیے پہلے سے واقف امپرنٹ کو شامل کرنا کافی ہے۔

یہ بات قابل توجہ ہے کہ یہ پالیسی "درست پبلشرز سے RDP فائلوں کو اجازت دیں اور اپنی مرضی کے مطابق ڈیفالٹ RDP ترتیبات" کی پالیسی کو اوور رائیڈ کرتی ہے۔

تشکیل شدہ پالیسی۔

Voila، اب کوئی عجیب سوال نہیں - صرف لاگ ان پاس ورڈ کی درخواست۔ ہم…

تیسرا مرحلہ۔ سرور پر شفاف لاگ ان

درحقیقت، اگر ہم پہلے ہی ڈومین کمپیوٹر میں لاگ ان ہو چکے ہیں، تو پھر ہمیں وہی لاگ ان اور پاس ورڈ دوبارہ داخل کرنے کی کیا ضرورت ہے؟ آئیے سرور کو اسناد کو "شفاف طریقے سے" منتقل کریں۔ سادہ آر ڈی پی کے معاملے میں (آر ڈی ایس گیٹ وے استعمال کیے بغیر)، ہم بچائیں گے... یہ ٹھیک ہے، گروپ پالیسی۔

ہم سیکشن پر جاتے ہیں: کمپیوٹر کنفیگریشن - پالیسیاں - انتظامی ٹیمپلیٹس - سسٹم - پاسنگ اسناد - پہلے سے طے شدہ اسناد کی منتقلی کی اجازت دیں۔

یہاں آپ ضروری سرورز کو فہرست میں شامل کر سکتے ہیں یا وائلڈ کارڈ استعمال کر سکتے ہیں۔ ایسا نظر آئے گا۔ TERMSRV/trm.contoso.com یا TERMSRV/*.contoso.com

تشکیل شدہ پالیسی۔

اب، اگر آپ ہمارے لیبل کو دیکھیں تو یہ کچھ اس طرح نظر آئے گا:

صارف نام تبدیل نہ کریں۔

اگر RDS گیٹ وے استعمال کیا جاتا ہے، تو آپ کو اس پر ڈیٹا کی منتقلی کی اجازت بھی دینی ہوگی۔ ایسا کرنے کے لیے، IIS مینیجر میں، آپ کو "توثیق کے طریقے" میں گمنام تصدیق کو غیر فعال کرنے اور ونڈوز کی توثیق کو فعال کرنے کی ضرورت ہے۔

تشکیل شدہ IIS۔

کمانڈ کے ساتھ ویب سروسز کو دوبارہ شروع کرنا نہ بھولیں:

iisreset /noforce

اب سب کچھ ٹھیک ہے، کوئی سوال اور درخواست نہیں۔

سروے میں صرف رجسٹرڈ صارفین ہی حصہ لے سکتے ہیں۔ سائن ان، برائے مہربانی.

مجھے بتائیں، کیا آپ اپنے صارفین کے لیے RDP لیبلز پر دستخط کرتے ہیں؟

• 43٪نہیں، انہیں بغیر پڑھے پیغامات میں "OK" دبانے کی تربیت دی جاتی ہے، کچھ تو خود "دوبارہ مت پوچھیں" کا چیک باکس بھی لگا دیتے ہیں۔28

• 29.2٪میں احتیاط سے اپنے ہاتھوں سے لیبل لگاتا ہوں اور ہر صارف کے ساتھ مل کر سرور پر پہلا لاگ ان کرتا ہوں۔

• 6.1٪یقینا، مجھے ہر چیز ترتیب میں پسند ہے۔4

• 21.5٪میں ٹرمینل سرور استعمال نہیں کرتا۔14

65 صارفین نے ووٹ دیا۔ 14 صارفین غیر حاضر رہے۔

ماخذ: www.habr.com