منذ وقت ليس ببعيد ، قمنا بتطبيق الحل على خادم طرفي لنظام Windows. كالعادة ، ألقوا اختصارات للاتصال بأجهزة الكمبيوتر المكتبية من الموظفين ، وقال - العمل. ولكن تم تخويف المستخدمين من حيث الأمن السيبراني. وعند الاتصال بالخادم ، ترى رسائل مثل: "هل تثق في هذا الخادم؟ بالضبط؟ "، لقد كانوا خائفين وتحولوا إلينا - هل كل شيء على ما يرام ، هل يمكنك النقر فوق" موافق "؟ ثم تقرر أن تفعل كل شيء بشكل جميل ، بحيث لا توجد أسئلة والذعر.

إذا كان المستخدمون لا يزالون يأتون إليك بمخاوف مماثلة ، وكنت قد سئمت من وضع علامة في المربع "لا تسأل مرة أخرى" - مرحبًا بك في برنامج cat.

خطوة الصفر. قضايا التدريب والثقة

لذلك ، المستخدم لدينا الوخزة على الملف المحفوظ مع التمديد .rdp ويتلقى مثل هذا الطلب:

اتصال "ضار" .

للتخلص من هذا الإطار ، يتم استخدام أداة مساعدة خاصة تسمى RDPSign.exe. التوثيق الكامل متاح ، كالمعتاد ، على الموقع الرسمي ، وسوف نقوم بتحليل مثال للاستخدام.

نحتاج أولاً إلى الحصول على شهادة لتوقيع الملف. يمكن أن يكون:

• الجمهور.
• صادر عن السلطة الداخلية شهادة المرجع.
• تماما التوقيع الذاتي.

الأهم من ذلك ، يجب أن تكون الشهادة قادرة على التوقيع (نعم ، يمكنك الاختيار
محاسبون EDS) ، وأجهزة الكمبيوتر العميلة تثق به. هنا سأستخدم شهادة موقعة ذاتيا.

اسمحوا لي أن أذكرك بأنه يمكن تنظيم الثقة في شهادة موقعة ذاتياً باستخدام سياسات المجموعة. مزيد من التفاصيل - تحت المفسد.

إذا تم حل مشاكل الثقة ، فنحن ننتقل مباشرةً إلى مسألة التوقيع.

الخطوة الأولى ملف موقّع بشكل كاسح

هناك شهادة ، والآن تحتاج إلى معرفة بصمتها. كل ما عليك هو فتحه في الأداة الإضافية "الشهادات" وانسخها إلى علامة التبويب "التكوين".

نحن بحاجة إلى بصمة.

من الأفضل وضعه على الفور في شكله الصحيح - الأحرف الكبيرة فقط وبدون مسافات ، إن وجدت. يمكن القيام بذلك بسهولة في وحدة التحكم PowerShell باستخدام الأمر:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","") 

بعد تلقي بصمة الإصبع بالتنسيق المطلوب ، يمكنك توقيع ملف rdp بأمان:

 rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .\contoso.rdp 

حيث. \ Contoso.rdp هو المسار المطلق أو النسبي لملفنا.

بعد توقيع الملف ، لم يعد من الممكن تغيير بعض المعلمات من خلال واجهة رسومية مثل اسم الخادم (هل هو صحيح ، ما هو الهدف من التوقيع؟) وإذا قمت بتغيير الإعدادات باستخدام محرر نص ، فسيكون التوقيع "يطير".

الآن ، عندما تنقر نقرًا مزدوجًا على الاختصار ، ستكون الرسالة مختلفة:

رسالة جديدة. اللون أقل خطورة ، تقدم بالفعل.

دعونا نتخلص منه أيضا.

الخطوة الثانية ومرة أخرى ، قضايا الثقة

للتخلص من هذه الرسالة ، سنحتاج مرة أخرى إلى "نهج المجموعة". هذه المرة ، يكمن الطريق في تكوين الكمبيوتر - السياسات - القوالب الإدارية - مكونات Windows - خدمات سطح المكتب البعيد - عميل اتصال سطح المكتب البعيد - حدد بصمات أصابع SHA1 للشهادات التي تمثل ناشري RDP الموثوق بهم.

نحن بحاجة إلى سياسة.

في السياسة ، يكفي إضافة البصمة المألوفة لنا بالفعل من الخطوة السابقة.

تجدر الإشارة إلى أن هذه السياسة تتجاوز سياسة "السماح بملفات RDP من الناشرين الصالحين وإعدادات RDP الافتراضية للمستخدم".

سياسة مخصصة.

فويلا ، الآن لا أسئلة غريبة - مجرد طلب تسجيل الدخول كلمة المرور. هم ...

الخطوة الثالثة تسجيل دخول خادم شفاف

في الواقع ، إذا كان لدينا إذن بالفعل عند دخول الكمبيوتر المجال ، فلماذا نحتاج إلى إعادة إدخال نفس اسم المستخدم وكلمة المرور؟ سننقل بيانات الاعتماد إلى الخادم "بشفافية". في حالة وجود RDP بسيط (دون استخدام RDS Gateway) ، سنصل إلى مساعدتنا ... هذا صحيح ، سياسة المجموعة.

نذهب إلى القسم: تكوين الكمبيوتر - السياسات - القوالب الإدارية - النظام - نقل بيانات الاعتماد - السماح بنقل بيانات الاعتماد الافتراضية.

هنا يمكنك إضافة الخوادم الضرورية إلى القائمة أو استخدام أحرف البدل. سيبدو TERMSRV / trm.contoso.com أو TERMSRV / * .contoso.com .

سياسة مخصصة.

الآن ، إذا نظرت إلى الاختصار الخاص بنا ، فستظهر مثل هذا:

لا تغير اسم المستخدم

إذا كنت تستخدم RDS Gateway ، فستحتاج أيضًا إلى السماح بنقل البيانات عليه. للقيام بذلك ، في إدارة IIS ، في "أساليب المصادقة" ، قم بتعطيل المصادقة المجهولة وتمكين مصادقة Windows.

تكوين IIS.

لا تنس إعادة تشغيل خدمات الويب عند الانتهاء:

 iisreset /noforce 

الآن كل شيء على ما يرام ، لا أسئلة وطلبات.