Cách đây không lâu, chúng tôi đã triển khai một giải pháp trên máy chủ đầu cuối Windows. Như thường lệ, họ ném các phím tắt kết nối lên bàn làm việc của nhân viên và bảo họ làm việc. Nhưng hóa ra người dùng lại bị đe dọa về mặt An ninh mạng. Và khi kết nối với máy chủ thì thấy thông báo như: “Bạn có tin tưởng máy chủ này không? Chính xác à?”, họ sợ hãi và quay sang chúng tôi - mọi chuyện ổn chứ, chúng tôi có thể nhấp vào OK không? Sau đó, người ta quyết định làm mọi thứ thật đẹp để không có thắc mắc hay hoảng sợ.

Nếu người dùng của bạn vẫn tìm đến bạn với nỗi sợ hãi tương tự và bạn cảm thấy mệt mỏi khi đánh dấu vào ô “Đừng hỏi lại”, chào mừng bạn đến với con mèo.

Bước không. Vấn đề chuẩn bị và tin tưởng

Vì vậy, người dùng của chúng tôi nhấp vào tệp đã lưu có phần mở rộng .rdp và nhận được yêu cầu sau:

Kết nối "độc hại".

Để thoát khỏi cửa sổ này, hãy sử dụng một tiện ích đặc biệt có tên RDPSign.exe. Tài liệu đầy đủ có sẵn, như thường lệ, tại trang web chính thức, và chúng ta sẽ xem xét một ví dụ về cách sử dụng.

Đầu tiên chúng ta cần lấy chứng chỉ để ký vào file. Anh ấy có thể:

• Công cộng.
• Được cấp bởi dịch vụ Cơ quan cấp chứng chỉ nội bộ.
• Hoàn toàn tự ký.

Điều quan trọng nhất là chứng chỉ có khả năng được ký (vâng, bạn có thể chọn
kế toán có chữ ký điện tử) và PC của khách hàng tin tưởng anh ta. Ở đây tôi sẽ sử dụng chứng chỉ tự ký.

Hãy để tôi nhắc bạn rằng niềm tin vào chứng chỉ tự ký có thể được tổ chức bằng chính sách nhóm. Một chút chi tiết nằm dưới spoiler.

Cách tạo chứng chỉ đáng tin cậy bằng cách sử dụng phép thuật của GPO

Trước tiên, bạn cần lấy chứng chỉ hiện có không có khóa riêng ở định dạng .cer (điều này có thể được thực hiện bằng cách xuất chứng chỉ từ phần đính vào Chứng chỉ) và đặt nó vào thư mục mạng mà người dùng có thể đọc. Sau này, bạn có thể định cấu hình Chính sách nhóm.

Nhập chứng chỉ được định cấu hình trong phần: Cấu hình máy tính - Chính sách - Cấu hình Windows - Cài đặt bảo mật - Chính sách khóa công khai - Cơ quan chứng nhận gốc đáng tin cậy. Tiếp theo, nhấp chuột phải để nhập chứng chỉ.

Chính sách được cấu hình.

PC khách bây giờ sẽ tin cậy vào chứng chỉ tự ký.

Nếu vấn đề về lòng tin được giải quyết, chúng tôi sẽ chuyển thẳng sang vấn đề về chữ ký.

Bước một. Chúng tôi ký tập tin một cách sâu rộng

Đã có chứng chỉ, bây giờ bạn cần tìm ra dấu vân tay của nó. Chỉ cần mở nó trong phần đính kèm “Chứng chỉ” và sao chép nó vào tab “Thành phần”.

Dấu vân tay chúng ta cần.

Tốt hơn hết là đưa nó về dạng thích hợp ngay lập tức - chỉ viết hoa và không có dấu cách, nếu có. Điều này có thể được thực hiện một cách thuận tiện trong bảng điều khiển PowerShell bằng lệnh:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Sau khi nhận được dấu vân tay ở định dạng bắt buộc, bạn có thể ký vào tệp rdp một cách an toàn:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Trong đó .contoso.rdp là đường dẫn tuyệt đối hoặc tương đối tới tệp của chúng tôi.

Sau khi tệp được ký, bạn sẽ không thể thay đổi một số tham số thông qua giao diện đồ họa, chẳng hạn như tên máy chủ (thực sự, nếu không thì mục đích của việc ký là gì?) Và nếu bạn thay đổi cài đặt bằng trình soạn thảo văn bản, chữ ký "bay đi".

Bây giờ khi bạn nhấp đúp chuột vào phím tắt sẽ có thông báo khác:

Một tin nhắn mới. Màu sắc ít nguy hiểm hơn, đã tiến bộ.

Chúng ta cũng hãy thoát khỏi anh ta.

Bước hai. Và một lần nữa câu hỏi về niềm tin

Để loại bỏ thông báo này, chúng ta sẽ cần lại Group Policy. Lần này con đường nằm trong phần Cấu hình máy tính - Chính sách - Mẫu quản trị - Cấu phần Windows - Dịch vụ máy tính từ xa - Máy khách kết nối máy tính từ xa - Chỉ định dấu vân tay SHA1 của chứng chỉ đại diện cho nhà xuất bản RDP đáng tin cậy.

Chính sách chúng tôi cần.

Trong chính trị, chỉ cần thêm dấu vân tay đã quen thuộc với chúng ta từ bước trước là đủ.

Điều đáng lưu ý là chính sách này ghi đè chính sách Cho phép tệp RDP từ nhà xuất bản hợp lệ và chính sách cài đặt RDP tùy chỉnh mặc định.

Chính sách được cấu hình.

Thì đấy, bây giờ không có câu hỏi lạ nào nữa - chỉ là yêu cầu đăng nhập và mật khẩu. Ừm…

Bước thứ ba. Đăng nhập minh bạch vào máy chủ

Thật vậy, nếu chúng ta đã đăng nhập khi đăng nhập vào máy tính miền thì tại sao chúng ta lại cần nhập lại thông tin đăng nhập và mật khẩu giống nhau? Hãy chuyển thông tin đăng nhập đến máy chủ một cách “minh bạch”. Trong trường hợp RDP đơn giản (không sử dụng RDS Gateway), ... Đúng vậy, chính sách nhóm sẽ hỗ trợ chúng ta.

Vào phần: Cấu hình máy tính - Chính sách - Mẫu quản trị - Hệ thống - Chuyển thông tin xác thực - Cho phép chuyển thông tin xác thực mặc định.

Tại đây bạn có thể thêm các máy chủ cần thiết vào danh sách hoặc sử dụng ký tự đại diện. Nó sẽ trông giống như ĐIỀU KHOẢNSRV/trm.contoso.com hoặc ĐIỀU KHOẢNSRV/*.contoso.com.

Chính sách được cấu hình.

Bây giờ, nếu bạn nhìn vào nhãn của chúng tôi, nó sẽ trông giống như thế này:

Tên người dùng không thể thay đổi.

Nếu sử dụng RDS Gateway, bạn cũng cần bật tính năng truyền dữ liệu trên đó. Để thực hiện việc này, trong Trình quản lý IIS, trong “Phương thức xác thực”, bạn cần tắt xác minh ẩn danh và bật Xác thực Windows.

IIS được cấu hình.

Đừng quên khởi động lại dịch vụ web khi kết thúc bằng lệnh:

iisreset /noforce

Bây giờ mọi thứ đều ổn, không có câu hỏi hay thắc mắc nào.

Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. Đăng nhập, xin vui lòng.

Hãy cho tôi biết, bạn có ký nhãn RDP cho người dùng của mình không?

• 43%Không, họ đã quen với việc nhấp vào “OK” trong tin nhắn mà không đọc chúng, một số thậm chí còn tự mình đánh dấu vào ô “Đừng hỏi lại”.28

• 29.2%Tôi cẩn thận đặt nhãn bằng tay và đăng nhập lần đầu vào máy chủ cùng với mỗi người dùng.19

• 6.1%Tất nhiên, tôi thích trật tự trong mọi việc.4

• 21.5%Tôi không sử dụng máy chủ đầu cuối.14

65 người dùng bình chọn. 14 người dùng bỏ phiếu trắng.

Nguồn: www.habr.com