不久前,我们在终端服务器上实施了一个解决方案。 Windows像往常一样,我们在员工的桌面上放置了快捷方式,让他们开始工作。但用户对网络安全感到担忧。连接服务器时,他们会看到类似“你信任这个服务器吗?你确定吗?”这样的提示信息,这让他们感到害怕,并询问我们一切是否正常,是否可以点击“确定”。因此,我们决定改进界面,使其看起来更友好,以避免任何疑问或恐慌。
如果您的用户仍然带着类似的恐惧来找您,并且您厌倦了勾选“不再询问”——欢迎在猫下。
零步。 培训和信任问题
因此,我们的用户单击带有 .rdp 扩展名的已保存文件并收到以下请求:
恶意连接.
要摆脱这个窗口,请使用一个名为 RDPSign.exe。 像往常一样,可以在以下位置获得完整的文档 ,我们将分析一个使用示例。
首先我们需要拿一个证书来签署文件。 他可以是:
- 民众。
- 由内部证书颁发机构颁发。
- 完全自签名。
最重要的是证书有签名的能力(是的,你可以选择
EDS 会计师),客户 PC 信任他。 这里我将使用自签名证书。
让我提醒您,可以使用组策略来组织对自签名证书的信任。 更多细节 - 在剧透下方。
如何使用 GPO 的魔力制作受信任的证书
首先,您需要采用 .cer 格式的不带私钥的现有证书(这可以通过从证书管理单元导出证书来完成)并将其放入用户可访问的网络文件夹中以供阅读。 之后,您可以配置组策略。
证书导入配置位于“计算机配置 - 策略 - 配置”部分。 Windows — 安全设置 — 公钥策略 — 受信任的根证书颁发机构。然后,右键单击并导入证书。
配置的策略。
客户端 PC 现在将信任自签名证书。
如果解决了信任问题,我们直接进入签名问题。
步骤XNUMX。 扫地签署文件
有一个证书,现在你需要找出它的指纹。 只需在“证书”管理单元中打开它,然后将其复制到“组合”选项卡上。
我们需要印记。
最好立即将其转换为正确的形式——只有大写字母且没有空格(如果有的话)。 使用以下命令在 PowerShell 控制台中执行此操作很方便:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
收到所需格式的打印后,您可以安全地签署 rdp 文件:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
其中 .contoso.rdp 是我们文件的绝对或相对路径。
文件签名后,将无法再通过图形界面更改某些参数,例如服务器名称(真的,否则签名有什么意义?)并且如果您使用文本编辑器更改设置,然后签名“飞”。
现在,当您双击标签时,消息会有所不同:
一条新消息。 颜色不那么危险,已经进步了。
我们也摆脱他吧。
第二步。 再次是信任问题
要消除此消息,我们需要再次使用组策略。这次,路径为:计算机配置 - 策略 - 管理模板 - 组件。 Windows — 远程桌面服务 — 远程桌面连接客户端 — 指定代表受信任的 RDP 颁发者的证书的 SHA1 指纹。
我们需要一个政策。
在政策中,添加我们在上一步中已经熟悉的印记就足够了。
值得注意的是,此策略会覆盖“允许来自有效发布者的 RDP 文件和自定义默认 RDP 设置”策略。
配置的策略。
瞧,现在没有奇怪的问题 - 只有登录密码请求。 嗯……
第三步。 透明登录服务器
的确,如果我们已经登录到域计算机,那为什么还要重新输入相同的登录名和密码呢? 让我们“透明地”将凭据传递给服务器。 在简单的 RDP(不使用 RDS 网关)的情况下,我们会来救援......没错,组策略。
我们转到以下部分:计算机配置 - 策略 - 管理模板 - 系统 - 传递凭据 - 允许传输默认凭据。
您可以在此处将必要的服务器添加到列表中或使用通配符。 它看起来像 条款RV/trm.contoso.com или 条款/*.contoso.com。
配置的策略。
现在,如果你看一下我们的标签,它看起来像这样:
不要更改用户名。
如果您使用的是 RDS 网关,则还需要启用数据传输。为此,请在 IIS 管理器中,在“身份验证方法”下,禁用匿名身份验证并启用身份验证。 Windows.
配置IIS。
不要忘记使用以下命令重新启动 Web 服务:
iisreset /noforce
现在一切都很好,没有问题和要求。
只有注册用户才能参与调查。 拜托
告诉我,您是否为您的用户签署 RDP 标签?
43%不,他们受过训练,可以在不阅读消息的情况下按“确定”,有些人甚至自己勾选“不再询问”复选框。 28
29.2%我用手小心地贴上标签,和每个用户一起第一次登录服务器。 19
6.1%当然,我喜欢一切都井井有条。4
21.5%我不使用终端服务器。14
65 位用户投票。 14 名用户弃权。
来源: habr.com
