不久前,我們在 Windows 終端服務器上實施了一個解決方案。 像往常一樣,他們扔了連接到員工桌面的快捷方式,並說 - 工作。 但事實證明,用戶被網絡安全嚇倒了。 當連接到服務器時,看到類似這樣的消息:“你信任這個服務器嗎? 完全正確?”,他們害怕並轉向我們 - 但一切都好嗎,我可以單擊“確定”嗎? 然後決定把每件事都做得漂亮,這樣就不會有疑問和恐慌。
如果您的用戶仍然帶著類似的恐懼來找您,並且您厭倦了勾選“不再詢問”——歡迎在貓下。
零步。 培訓和信任問題
因此,我們的用戶單擊帶有 .rdp 擴展名的已保存文件並收到以下請求:
惡意連接.
要擺脫這個窗口,請使用一個名為 RDPSign.exe。 像往常一樣,可以在以下位置獲得完整的文檔
首先我們需要拿一個證書來簽署文件。 他可以是:
- 民眾。
- 由內部證書頒發機構頒發。
- 完全自簽名。
最重要的是證書有簽名的能力(是的,你可以選擇
EDS 會計師),客戶 PC 信任他。 這裡我將使用自簽名證書。
讓我提醒您,可以使用組策略來組織對自簽名證書的信任。 更多細節 - 在劇透下方。
如何使用 GPO 的魔力製作受信任的證書
首先,您需要採用 .cer 格式的不帶私鑰的現有證書(這可以通過從證書管理單元導出證書來完成)並將其放在用戶可以訪問以供閱讀的網絡文件夾中。 之後,您可以配置組策略。
導入證書在以下部分配置:計算機配置 - 策略 - Windows 配置 - 安全設置 - 公鑰策略 - 受信任的根證書頒發機構。 接下來,右鍵單擊以導入證書。
配置的策略。
客戶端 PC 現在將信任自簽名證書。
如果解決了信任問題,我們直接進入簽名問題。
步驟XNUMX。 掃地簽署文件
有一個證書,現在你需要找出它的指紋。 只需在“證書”管理單元中打開它,然後將其複製到“組合”選項卡上。
我們需要一個印記。
最好立即將其轉換為正確的形式——只有大寫字母且沒有空格(如果有的話)。 使用以下命令在 PowerShell 控制台中執行此操作很方便:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
收到所需格式的打印後,您可以安全地簽署 rdp 文件:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
其中 .contoso.rdp 是我們文件的絕對或相對路徑。
文件簽名後,將無法再通過圖形界面更改某些參數,例如服務器名稱(真的,否則簽名有什麼意義?)並且如果您使用文本編輯器更改設置,然後簽名“飛”。
現在,當您雙擊標籤時,消息會有所不同:
一條新消息。 顏色不那麼危險,已經進步了。
我們也擺脫他吧。
第二步。 再次是信任問題
為了擺脫這個消息,我們再次需要一個組策略。 這次的道路位於計算機配置 - 策略 - 管理模板 - Windows 組件 - 遠程桌面服務 - 遠程桌面連接客戶端 - 指定代表受信任的 RDP 發布者的證書的 SHA1 指紋部分。
我們需要一個政策。
在政策中,添加我們在上一步中已經熟悉的印記就足夠了。
值得注意的是,此策略會覆蓋“允許來自有效發布者的 RDP 文件和自定義默認 RDP 設置”策略。
配置的策略。
瞧,現在沒有奇怪的問題 - 只有登錄密碼請求。 嗯……
第三步。 透明登錄服務器
的確,如果我們已經登錄到域計算機,那為什麼還要重新輸入相同的登錄名和密碼呢? 讓我們“透明地”將憑據傳遞給服務器。 在簡單的 RDP(不使用 RDS 網關)的情況下,我們會來救援......沒錯,組策略。
我們轉到以下部分:計算機配置 - 策略 - 管理模板 - 系統 - 傳遞憑據 - 允許傳輸默認憑據。
您可以在此處將必要的服務器添加到列表中或使用通配符。 它看起來像 條款RV/trm.contoso.com 或 條款/*.contoso.com。
配置的策略。
現在,如果你看一下我們的標籤,它看起來像這樣:
不要更改用戶名。
如果使用 RDS Gateway,您還需要允許在其上傳輸數據。 為此,在 IIS 管理器中,您需要在“身份驗證方法”中禁用匿名驗證並啟用 Windows 身份驗證。
配置IIS。
不要忘記使用以下命令重新啟動 Web 服務:
iisreset /noforce
現在一切都很好,沒有問題和要求。
只有註冊用戶才能參與調查。
告訴我,您是否為您的用戶簽署 RDP 標籤?
-
企業排放佔全球 43%不,他們受過訓練,可以在不閱讀消息的情況下按“確定”,有些人甚至自己勾選“不再詢問”複選框。 28
-
企業排放佔全球 29.2%我用手小心地貼上標籤,和每個用戶一起第一次登錄服務器。 19
-
企業排放佔全球 6.1%當然,我喜歡一切都井井有條。4
-
企業排放佔全球 21.5%我不使用終端服務器。14
65 位用戶投票。 14 名用戶棄權。
來源: www.habr.com