主持人 > 博客 > 管理 > 進入終端服務器時擺脫煩人的警告

進入終端服務器時擺脫煩人的警告

進入終端服務器時擺脫煩人的警告

不久前,我們在 Windows 終端服務器上實施了一個解決方案。 像往常一樣,他們扔了連接到員工桌面的快捷方式,並說 - 工作。 但事實證明,用戶被網絡安全嚇倒了。 當連接到服務器時,看到類似這樣的消息:“你信任這個服務器嗎? 完全正確?”,他們害怕並轉向我們 - 但一切都好嗎,我可以單擊“確定”嗎? 然後決定把每件事都做得漂亮,這樣就不會有疑問和恐慌。

如果您的用戶仍然帶著類似的恐懼來找您,並且您厭倦了勾選“不再詢問”——歡迎在貓下。

零步。 培訓和信任問題

因此,我們的用戶單擊帶有 .rdp 擴展名的已保存文件並收到以下請求:

進入終端服務器時擺脫煩人的警告

惡意連接.

要擺脫這個窗口,請使用一個名為 RDPSign.exe。 像往常一樣,可以在以下位置獲得完整的文檔 官方網站,我們將分析一個使用示例。

首先我們需要拿一個證書來簽署文件。 他可以是:

  • 民眾。
  • 由內部證書頒發機構頒發。
  • 完全自簽名。

最重要的是證書有簽名的能力(是的,你可以選擇
EDS 會計師),客戶 PC 信任他。 這裡我將使用自簽名證書。

讓我提醒您,可以使用組策略來組織對自簽名證書的信任。 更多細節 - 在劇透下方。

如何使用 GPO 的魔力製作受信任的證書

首先,您需要採用 .cer 格式的不帶私鑰的現有證書(這可以通過從證書管理單元導出證書來完成)並將其放在用戶可以訪問以供閱讀的網絡文件夾中。 之後,您可以配置組策略。

導入證書在以下部分配置:計算機配置 - 策略 - Windows 配置 - 安全設置 - 公鑰策略 - 受信任的根證書頒發機構。 接下來,右鍵單擊以導入證書。

進入終端服務器時擺脫煩人的警告

配置的策略。

客戶端 PC 現在將信任自簽名證書。

如果解決了信任問題,我們直接進入簽名問題。

步驟XNUMX。 掃地簽署文件

有一個證書,現在你需要找出它的指紋。 只需在“證書”管理單元中打開它,然後將其複製到“組合”選項卡上。

進入終端服務器時擺脫煩人的警告

我們需要一個印記。

最好立即將其轉換為正確的形式——只有大寫字母且沒有空格(如果有的話)。 使用以下命令在 PowerShell 控制台中執行此操作很方便:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

收到所需格式的打印後,您可以安全地簽署 rdp 文件:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

其中 .contoso.rdp 是我們文件的絕對或相對路徑。

文件簽名後,將無法再通過圖形界面更改某些參數,例如服務器名稱(真的,否則簽名有什麼意義?)並且如果您使用文本編輯器更改設置,然後簽名“飛”。

現在,當您雙擊標籤時,消息會有所不同:

進入終端服務器時擺脫煩人的警告

一條新消息。 顏色不那麼危險,已經進步了。

我們也擺脫他吧。

第二步。 再次是信任問題

為了擺脫這個消息,我們再次需要一個組策略。 這次的道路位於計算機配置 - 策略 - 管理模板 - Windows 組件 - 遠程桌面服務 - 遠程桌面連接客戶端 - 指定代表受信任的 RDP 發布者的證書的 SHA1 指紋部分。

進入終端服務器時擺脫煩人的警告

我們需要一個政策。

在政策中,添加我們在上一步中已經熟悉的印記就足夠了。

值得注意的是,此策略會覆蓋“允許來自有效發布者的 RDP 文件和自定義默認 RDP 設置”策略。

進入終端服務器時擺脫煩人的警告

配置的策略。

瞧,現在沒有奇怪的問題 - 只有登錄密碼請求。 嗯……

第三步。 透明登錄服務器

的確,如果我們已經登錄到域計算機,那為什麼還要重新輸入相同的登錄名和密碼呢? 讓我們“透明地”將憑據傳遞給服務器。 在簡單的 RDP(不使用 RDS 網關)的情況下,我們會來救援......沒錯,組策略。

我們轉到以下部分:計算機配置 - 策略 - 管理模板 - 系統 - 傳遞憑據 - 允許傳輸默認憑據。

您可以在此處將必要的服務器添加到列表中或使用通配符。 它看起來像 條款RV/trm.contoso.com條款/*.contoso.com。

進入終端服務器時擺脫煩人的警告

配置的策略。

現在,如果你看一下我們的標籤,它看起來像這樣:

進入終端服務器時擺脫煩人的警告

不要更改用戶名。

如果使用 RDS Gateway,您還需要允許在其上傳輸數據。 為此,在 IIS 管理器中,您需要在“身份驗證方法”中禁用匿名驗證並啟用 Windows 身份驗證。

進入終端服務器時擺脫煩人的警告

配置IIS。

不要忘記使用以下命令重新啟動 Web 服務:

iisreset /noforce

現在一切都很好,沒有問題和要求。

只有註冊用戶才能參與調查。 登入, 請。

告訴我,您是否為您的用戶簽署 RDP 標籤?

  • 企業排放佔全球 43%不,他們受過訓練,可以在不閱讀消息的情況下按“確定”,有些人甚至自己勾選“不再詢問”複選框。 28

  • 企業排放佔全球 29.2%我用手小心地貼上標籤,和每個用戶一起第一次登錄服務器。 19

  • 企業排放佔全球 6.1%當然,我喜歡一切都井井有條。4

  • 企業排放佔全球 21.5%我不使用終端服務器。14

65 位用戶投票。 14 名用戶棄權。

來源: www.habr.com

添加評論