Yaqinda biz Windows terminal serverida yechimni amalga oshirdik. Odatdagidek, ular xodimlarning stollariga ulanish yorliqlarini tashladilar va ularga ishlashni aytdilar. Ammo foydalanuvchilar Cyber ​​​​Security nuqtai nazaridan qo'rqib ketishdi. Va serverga ulanayotganda quyidagi xabarlarni ko'rasiz: “Siz bu serverga ishonasizmi? To‘g‘rimi? Keyin savol va vahima bo'lmasligi uchun hamma narsani chiroyli qilishga qaror qilindi.

Agar foydalanuvchilaringiz hali ham xuddi shunday qo'rquv bilan sizga murojaat qilishsa va siz "Yana so'ramang" katagiga belgi qo'yishdan charchagan bo'lsangiz, mushukka xush kelibsiz.

Nolinchi qadam. Tayyorgarlik va ishonch masalalari

Shunday qilib, bizning foydalanuvchi .rdp kengaytmali saqlangan faylni bosadi va quyidagi so'rovni oladi:

"Zararli" ulanish.

Ushbu oynadan xalos bo'lish uchun maxsus yordam dasturidan foydalaning RDPSign.exe. To'liq hujjatlar odatdagidek mavjud rasmiy veb-sayti, va biz foydalanish misolini ko'rib chiqamiz.

Birinchidan, faylni imzolash uchun sertifikat olishimiz kerak. U bo'lishi mumkin:

• Ommaviy.
• Ichki sertifikat markazi xizmati tomonidan berilgan.
• To'liq o'z-o'zidan imzolangan.

Eng muhimi, sertifikat imzolash imkoniyatiga ega (ha, siz tanlashingiz mumkin
buxgalterlarning raqamli imzolari bor) va mijoz shaxsiy kompyuterlari unga ishongan. Bu erda men o'z-o'zidan imzolangan sertifikatdan foydalanaman.

Sizga shuni eslatib o'tamanki, o'z-o'zidan imzolangan sertifikatga ishonch guruh siyosatlari yordamida tashkil etilishi mumkin. Batafsilroq tafsilotlar spoyler ostida.

GPO sehridan foydalangan holda sertifikatni qanday qilib ishonchli qilish mumkin

Birinchidan, mavjud sertifikatni shaxsiy kalitsiz .cer formatida olishingiz kerak (bu sertifikatni Sertifikatlar qo'shimchasidan eksport qilish orqali amalga oshirilishi mumkin) va uni foydalanuvchilar o'qishi mumkin bo'lgan tarmoq papkasiga qo'ying. Shundan so'ng siz guruh siyosatini sozlashingiz mumkin.

Sertifikat importi quyidagi bo'limda sozlangan: Kompyuter konfiguratsiyasi - Qoidalar - Windows konfiguratsiyasi - Xavfsizlik sozlamalari - Ochiq kalit siyosatlari - Ishonchli ildiz sertifikatlash organlari. Keyin sertifikatni import qilish uchun o'ng tugmasini bosing.

Sozlangan siyosat.

Mijoz shaxsiy kompyuterlari endi o'z-o'zidan imzolangan sertifikatga ishonadi.

Ishonch bilan bog'liq muammolar hal etilsa, biz to'g'ridan-to'g'ri imzo masalasiga o'tamiz.

Birinchi qadam. Biz faylni supurish tartibida imzolaymiz

Sertifikat bor, endi siz uning barmoq izini bilib olishingiz kerak. Uni "Sertifikatlar" qo'shimchasida oching va uni "Tarkib" yorlig'iga nusxalang.

Bizga kerak bo'lgan barmoq izi.

Uni darhol to'g'ri shaklga keltirish yaxshiroqdir - faqat bosh harflar va bo'sh joylar, agar mavjud bo'lsa. Buni PowerShell konsolida quyidagi buyruq yordamida bajarish mumkin:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Barmoq izini kerakli formatda olganingizdan so'ng, siz rdp fayliga ishonch bilan imzolashingiz mumkin:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Bu erda .contoso.rdp faylimizga mutlaq yoki nisbiy yo'ldir.

Fayl imzolangandan so'ng, grafik interfeys orqali ba'zi parametrlarni, masalan, server nomini o'zgartirish imkoni bo'lmaydi (haqiqatan ham, aks holda imzolashning ma'nosi nima?) Va sozlamalarni matn muharriri bilan o'zgartirsangiz, imzo "uchib ketadi".

Endi yorliqni ikki marta bosganingizda xabar boshqacha bo'ladi:

Yangi xabar. Rang kamroq xavfli, allaqachon taraqqiyot.

Keling, undan ham qutulaylik.

Ikkinchi qadam. Va yana ishonch savollari

Ushbu xabardan xalos bo'lish uchun bizga yana Guruh siyosati kerak bo'ladi. Bu safar yo'l Kompyuter konfiguratsiyasi - Qoidalar - Ma'muriy shablonlar - Windows komponentlari - Masofaviy ish stoli xizmatlari - Masofaviy ish stoliga ulanish mijozi - Ishonchli RDP nashriyotlarini ifodalovchi sertifikatlarning SHA1 barmoq izlarini ko'rsating.

Bizga kerak bo'lgan siyosat.

Siyosatda bizga avvalgi qadamdan allaqachon tanish bo'lgan barmoq izini qo'shish kifoya.

Shuni ta'kidlash kerakki, ushbu siyosat amaldagi nashriyotlardan RDP fayllariga ruxsat berish va standart RDP sozlamalari siyosatini bekor qiladi.

Sozlangan siyosat.

Voila, endi g'alati savollar yo'q - faqat login va parol uchun so'rov. Hm…

Uchinchi qadam. Serverga shaffof kirish

Haqiqatan ham, agar biz domen kompyuteriga kirishda allaqachon tizimga kirgan bo'lsak, nega biz bir xil login va parolni qayta kiritishimiz kerak? Keling, hisobga olish ma'lumotlarini serverga "shaffof ravishda" o'tkazamiz. Oddiy RDP holatida (RDS Gateway-dan foydalanmasdan) ... To'g'ri, guruh siyosati yordamimizga keladi.

Bo'limga o'ting: Kompyuter konfiguratsiyasi - Qoidalar - Ma'muriy shablonlar - Tizim - Hisob ma'lumotlarini uzatish - Standart hisob ma'lumotlarini uzatishga ruxsat berish.

Bu erda siz kerakli serverlarni ro'yxatga qo'shishingiz yoki joker belgidan foydalanishingiz mumkin. O'xshash bo'ladi TERMSRV/trm.contoso.com yoki TERMSRV/*.contoso.com.

Sozlangan siyosat.

Endi, agar siz bizning yorlig'imizga qarasangiz, u quyidagicha ko'rinadi:

Foydalanuvchi nomini o'zgartirib bo'lmaydi.

Agar siz RDS Gateway-dan foydalansangiz, unda ma'lumotlar uzatishni ham yoqishingiz kerak bo'ladi. Buni amalga oshirish uchun IIS menejerida "Autentifikatsiya usullari" da siz anonim tekshirishni o'chirib qo'yishingiz va Windows autentifikatsiyasini yoqishingiz kerak.

Sozlangan IIS.

Buyruq bilan tugagandan so'ng veb-xizmatlarni qayta ishga tushirishni unutmang:

iisreset /noforce

Endi hamma narsa yaxshi, hech qanday savol yoki so'rov yo'q.

So'rovda faqat ro'yxatdan o'tgan foydalanuvchilar ishtirok etishlari mumkin. tizimga kirishiltimos.

Ayting-chi, foydalanuvchilaringiz uchun RDP yorliqlarini imzolaysizmi?

• 43%Yo'q, ular xabarlarni o'qimay turib, "OK" tugmasini bosishga odatlangan, ba'zilari hatto "Boshqa so'ramang" katakchalarini o'zlari belgilashadi.

• 29.2%Men yorliqni ehtiyotkorlik bilan qo'llarim bilan joylashtiraman va har bir foydalanuvchi bilan birga serverga birinchi kirishni amalga oshiraman.19

• 6.1%Albatta, men hamma narsada tartibni yaxshi ko'raman.4

• 21.5%Men terminal serverlaridan foydalanmayman.14

65 foydalanuvchi ovoz berdi. 14 nafar foydalanuvchi betaraf qolgan.

Manba: www.habr.com