主持人 > 博客 > 管理 > 进入终端服务器时摆脱烦人的警告

进入终端服务器时摆脱烦人的警告

进入终端服务器时摆脱烦人的警告

不久前,我们在 Windows 终端服务器上实施了一个解决方案。 像往常一样,他们扔了连接到员工桌面的快捷方式,并说 - 工作。 但事实证明,用户被网络安全吓倒了。 当连接到服务器时,看到类似这样的消息:“你信任这个服务器吗? 完全正确?”,他们吓坏了,转向我们——但一切都好吗,我可以单击“确定”吗? 然后决定把每件事都做得漂亮,这样就不会有疑问和恐慌。

如果您的用户仍然带着类似的恐惧来找您,并且您厌倦了勾选“不再询问”——欢迎在猫下。

零步。 培训和信任问题

因此,我们的用户单击带有 .rdp 扩展名的已保存文件并收到以下请求:

进入终端服务器时摆脱烦人的警告

恶意连接.

要摆脱这个窗口,请使用一个名为 RDPSign.exe。 像往常一样,可以在以下位置获得完整的文档 官方网站,我们将分析一个使用示例。

首先我们需要拿一个证书来签署文件。 他可以是:

  • 民众。
  • 由内部证书颁发机构颁发。
  • 完全自签名。

最重要的是证书有签名的能力(是的,你可以选择
EDS 会计师),客户 PC 信任他。 这里我将使用自签名证书。

让我提醒您,可以使用组策略来组织对自签名证书的信任。 更多细节 - 在剧透下方。

如何使用 GPO 的魔力制作受信任的证书

首先,您需要采用 .cer 格式的不带私钥的现有证书(这可以通过从证书管理单元导出证书来完成)并将其放入用户可访问的网络文件夹中以供阅读。 之后,您可以配置组策略。

导入证书在以下部分配置:计算机配置 - 策略 - Windows 配置 - 安全设置 - 公钥策略 - 受信任的根证书颁发机构。 接下来,右键单击以导入证书。

进入终端服务器时摆脱烦人的警告

配置的策略。

客户端 PC 现在将信任自签名证书。

如果解决了信任问题,我们直接进入签名问题。

步骤XNUMX。 扫地签署文件

有一个证书,现在你需要找出它的指纹。 只需在“证书”管理单元中打开它,然后将其复制到“组合”选项卡上。

进入终端服务器时摆脱烦人的警告

我们需要印记。

最好立即将其转换为正确的形式——只有大写字母且没有空格(如果有的话)。 使用以下命令在 PowerShell 控制台中执行此操作很方便:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

收到所需格式的打印后,您可以安全地签署 rdp 文件:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

其中 .contoso.rdp 是我们文件的绝对或相对路径。

文件签名后,将无法再通过图形界面更改某些参数,例如服务器名称(真的,否则签名有什么意义?)并且如果您使用文本编辑器更改设置,然后签名“飞”。

现在,当您双击标签时,消息会有所不同:

进入终端服务器时摆脱烦人的警告

一条新消息。 颜色不那么危险,已经进步了。

我们也摆脱他吧。

第二步。 再次是信任问题

为了摆脱这个消息,我们再次需要一个组策略。 这次的道路位于计算机配置 - 策略 - 管理模板 - Windows 组件 - 远程桌面服务 - 远程桌面连接客户端 - 指定代表受信任的 RDP 发布者的证书的 SHA1 指纹部分。

进入终端服务器时摆脱烦人的警告

我们需要一个政策。

在政策中,添加我们在上一步中已经熟悉的印记就足够了。

值得注意的是,此策略会覆盖“允许来自有效发布者的 RDP 文件和自定义默认 RDP 设置”策略。

进入终端服务器时摆脱烦人的警告

配置的策略。

瞧,现在没有奇怪的问题 - 只有登录密码请求。 嗯……

第三步。 透明登录服务器

的确,如果我们已经登录到域计算机,那为什么还要重新输入相同的登录名和密码呢? 让我们“透明地”将凭据传递给服务器。 在简单的 RDP(不使用 RDS 网关)的情况下,我们会来救援......没错,组策略。

我们转到以下部分:计算机配置 - 策略 - 管理模板 - 系统 - 传递凭据 - 允许传输默认凭据。

您可以在此处将必要的服务器添加到列表中或使用通配符。 它看起来像 TERMSRV/trm.contoso.com или 条款/*.contoso.com。

进入终端服务器时摆脱烦人的警告

配置的策略。

现在,如果你看一下我们的标签,它看起来像这样:

进入终端服务器时摆脱烦人的警告

不要更改用户名。

如果使用 RDS Gateway,您还需要允许在其上传输数据。 为此,在 IIS 管理器中,您需要在“身份验证方法”中禁用匿名验证并启用 Windows 身份验证。

进入终端服务器时摆脱烦人的警告

配置IIS。

不要忘记使用以下命令重新启动 Web 服务:

iisreset /noforce

现在一切都很好,没有问题和要求。

只有注册用户才能参与调查。 登录拜托

告诉我,您是否为您的用户签署 RDP 标签?

  • 43%不,他们受过训练,可以在不阅读消息的情况下按“确定”,有些人甚至自己勾选“不再询问”复选框。 28

  • 29.2%我用手小心地贴上标签,和每个用户一起第一次登录服务器。 19

  • 6.1%当然,我喜欢一切都井井有条。4

  • 21.5%我不使用终端服务器。14

65 位用户投票。 14 名用户弃权。

来源: habr.com

添加评论