Получение сертификата для сервера шлюза удаленных рабочих столов

Получение сертификата для сервера шлюза удаленных рабочих столов Сертификаты

Запрос сертификата для сервера терминала

Прежде чем использовать SSL для соединения с сервером терминала, необходимо запросить соответствующий сертификат из центра сертификации корпоративной сети:

  1. Открыть оснастку Certificates консоли управления Microsoft Management Console (MMC) на сервере терминалов от имени учетной записи локального компьютера.
  2. Выбрать Certificates (Local Computer) в корневом каталоге консоли, затем перейти к пункту Options меню View. Выбрать Certificate Purpose в разделе Organize view mode by и нажать кнопку OK.
  3. Щелкнуть правой кнопкой мыши Server Authentication и выбрать Request new certificate в разделе All tasks.
  4. Нажать кнопку Next на экране приветствия. Выбрать режим Server Authentication (или Domain Controller Authentication). Установить флажок Advanced и нажать кнопку Next.
  5. Убедиться, что в качестве поставщика службы шифрования выбран Microsoft RSA SChannel Cryptographic Provider, а длина ключа – 1024. Нажать кнопку Next.
  6. Перейти к центру сертификации корпоративной сети (если он еще не выбран) и выбрать его. Нажать кнопку Next.
  7. Ввести понятное имя и описание сертификата. Нажать кнопку Next, а затем Finish.

После этого на экране должно появиться сообщение, что запрос к центру сертификации корпоративной сети был успешным.

Изменить групповую политику

Опять же, OCSP, используемый запросом отзыва сертификатов по умолчанию, но автор до сих пор не настроен, может только принудительно вызвать CRL, изменив групповую политику. Статус отзыва сертификата, этого шага можно избежать! Пожалуйста, свяжитесь с автором к тому времени! Спасибо

Запустить групповую политику gpedit.msc
 [Конфигурация компьютера] -> [Настройки безопасности] -> [Политика открытого ключа]
 Открыть [Настройка проверки пути сертификата]
 Выберите вкладку [Отзыв]
 Установите флажок [Определить эти параметры политики], [Всегда предпочитать список отзыва сертификатов (CRL) вместо ответа протокола OCSP в режиме онлайн (не рекомендуется) (P)]

приложение->Перезагрузите машину, На этом этапе настройка на стороне сервера завершена.

Инструкция по настройке шлюза удаленных рабочих столов

Для того чтобы повысить уровень безопасности Windows-сервера бывает недостаточно сменить TCP-порт RDP . Рассмотрим настройку шлюза  удаленных рабочих столов (Remote Desktop Gateway / Terminal Services Gateway) в домене Active Directory.

Remote Desktop Gateway, что это?

Remote Desktop Gateway – это роль Windows-сервера, обеспечивающая защищенное соединение, с помощью протокола SSL, с сервером по RDP. Главное преимущество этого решения в том, что не требуется развертывание VPN-сервера, для этого и используется шлюз.

Про сертификаты:  SSL-сертификат на DNS от Яндекс? — Хабр Q&A

Следует отметить, что начиная с Windows Server 2008 R2, были изменены названия всех служб удаленных рабочих столов. Именуемые ранее службы Terminal Services были переименованы в Remote Desktop Services.

Преимущества Remote Desktop Gateway в следующем:

  • Используя зашифрованное соединение, шлюз позволяет подключаться к внутренним сетевым ресурсам без необходимости использования VPN-соединения удаленными пользователями;
  • Шлюз дает возможность контроля доступа к определенным сетевым ресурсам, тем самым реализуя комплексную защиту;
  • Шлюз разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT;
  • С помощью консоли диспетчера шлюза появляется возможность настраивать политики авторизации для тех или иных условий, которые должны быть выполнены при подключении к сетевым ресурсам удаленными пользователями. В качестве примера, можно указать конкретных пользователей, которые могут подключаться к внутренним сетевым ресурсам, а также должен ли клиентский компьютер при этом быть членом группы безопасности AD, допустимо ли перенаправление устройства и диска;
  • Консоль диспетчера шлюза содержит инструменты, предназначенные для отслеживания состояния шлюза. Используя их, вы можете назначить отслеживаемые события для аудита, например, неудачные попытки подключения к серверу шлюза служб терминалов.

Важно! Шлюз служб терминалов должен входить в домен Active Directory. Настройка шлюза выполняется только от имени администратора домена, на любом сервере в домене.

Установим роль.

Открываем Диспетчер серверов.

Выбираем “Добавить роли и компоненты”.

На этапе “Тип установки”, выбираем “Установка ролей и компонентов”.

Следующим шагом выбираем текущий сервер.

Роль сервера – Служба удаленных рабочих столов.

Переходим к службе ролей. Выбираем “Шлюз удаленных рабочих столов”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Переходим к этапу подтверждения, нажимаем кнопку “Установить”.

Настройка политики авторизации подключения и ресурсов.

Получение сертификата для сервера шлюза удаленных рабочих столов

В открывшемся окне диспетчера шлюза удаленных рабочих столов, в левой части окна, раскрываем ветку с именем сервера  → Политики → Политики авторизации подключений.
В правой части того же окна выбираем Создать новую политику → Мастер.

Получение сертификата для сервера шлюза удаленных рабочих столов

В открывшемся окне “Мастер создания новых политик авторизации” выбираем рекомендуемый параметр “Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов”. Нажимаем кнопку “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

На следующем шаге вводим удобное имя для политики авторизации подключения. Мы рекомендуем давать имена на английском языке.

Получение сертификата для сервера шлюза удаленных рабочих столовПолучение сертификата для сервера шлюза удаленных рабочих столов

В окне выбора групп кликаем по кнопке “Дополнительно”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Окно изменит размеры. Нажимаем кнопку “Поиск”. В результатах поиска находим “Администраторы домена” и нажимаем кнопку “OK”.

Про сертификаты:  Outlook ошибка сертификата безопасности прокси сервера - Компьютерный журнал

Получение сертификата для сервера шлюза удаленных рабочих столов

В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.

Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

На следующем этапе выбираем пункт “Включить перенаправление устройств для всех клиентских устройств” и нажимаем “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Устанавливаем таймауты – время простоя и время работы сессии, значения указаны в часах. Нажимаем “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Проверяем выполненные настройки. Все правильно – нажимаем “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

На следующем этапе настроим политику авторизации ресурсов. Указываем желаемое имя политики. Нажимаем “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Следующим шагом установим членство в группах. Обычно, группа уже установлена, но если это не выполнено, следует выполнить действия приведенные выше. Нажимаем “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Выбираем доступные сетевые ресурсы. Для этого необходимо выбрать группу, которая содержит серверы на которых требуемые группы пользователей могли бы работать с удаленным рабочим столом. Нажимаем кнопку “Обзор”.

Получение сертификата для сервера шлюза удаленных рабочих столов

В окне выбора группы, нажимаем кнопку “Дополнительно”.

Получение сертификата для сервера шлюза удаленных рабочих столов

В измененном окне нажимаем кнопку “Поиск”. В окне результатов находим “Контроллеры домена”. Нажимаем “OK”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Проверяем выбранные объекты и нажимаем “OK”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Еще раз проверяем какая сетевая группа добавлена и нажимаем “Далее”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Если номер RDP-порта неизменялся, устанавливаем значение переключателя в “Разрешить подключение только к порту 3389”. Если порт был изменен, следует указать новое значение.

Получение сертификата для сервера шлюза удаленных рабочих столов

Кликаем “Готово

Получение сертификата для сервера шлюза удаленных рабочих столов

На этапе подтверждения создания политики нажимаем кнопку “Закрыть”.

Получение сертификата для сервера шлюза удаленных рабочих столов

По окончании настройки окно будет выглядеть подобным образом.

Получение сертификата для сервера шлюза удаленных рабочих столов

Установим SSL-сертификат.

В том же окне “Диспетчер шлюза удаленных рабочих столов”, в левой окна кликаем по значку сервера, в основной части окна – “Просмотр и изменение свойств сертификата”.

Получение сертификата для сервера шлюза удаленных рабочих столов

В открывшемся окне “Свойства <имя_сервера>” переходим на вкладку “Сертификат SSL”. Устанавливаем переключатель “Создать самозаверяющий сертификат” и кликаем по кнопке “Создать и импортировать сертификат…”.

Хотя возможны еще 2 варианта:

  • импорт ранее загруженного сертификата (самоподписанного ранее или стороннего);
  • загрузка стороннего сертификата (например, Comodo) и его импорт;

Получение сертификата для сервера шлюза удаленных рабочих столов

В окне “Создание самозаверяющего сертификата” проверяем параметры и нажимаем кнопку “OK”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Система уведомит, что сертификат был создан успешно. также присутствует информация, где можно найти сам файл сертификата. Нажимаем кнопку “OK”.

Получение сертификата для сервера шлюза удаленных рабочих столов

В окне свойств сервера, нажимаем кнопку “Применить”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Самозаверенный сертификат установлен на TCP-порт 443 (SSL-порт по умолчанию).

Получение сертификата для сервера шлюза удаленных рабочих столов

Мы рекомендуем, в целях безопасности, изменить порт SSL, используемый по-умолчанию. Для этого, в основном меню окна, выбираем “Действия” → “Свойства”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Переходим на вкладку “Параметры транспорта” и устанавливаем желаемое значение поля “HTTPS-порт”. Сохраняем параметры нажимая кнопку “Применить”.

Про сертификаты:  Курс искусствоведение. экспертиза антиквариата. Профессиональная переподготовка по искусствоведению. Дистанционные курсы.

Получение сертификата для сервера шлюза удаленных рабочих столов

Система запросит подтверждение – отвечаем ”Да”.

Получение сертификата для сервера шлюза удаленных рабочих столов

Выполним подключение через шлюз.

Открываем RDP-клиент, переходим на вкладку “Дополнительно” и нажимаем кнопку “Параметры”.

Получение сертификата для сервера шлюза удаленных рабочих столов

В открывшемся окне выбираем “Использовать следующие параметры сервера шлюза удаленных рабочих столов”. Указываем доменное имя сервера и через двоеточие (:) указываем SSL-порт. Метод входа – “Запрашивать пароль”. Нажимаем “OK

Получение сертификата для сервера шлюза удаленных рабочих столов

Переходим на вкладку “Общие”. Указываем адрес компьютера и пользователя под которым будет выполняться подключение. Нажимаем кнопку “Подключить

Получение сертификата для сервера шлюза удаленных рабочих столов

Программа запросит пароль от учетной записи.

Получение сертификата для сервера шлюза удаленных рабочих столов

Результаты работы шлюза можно проверить трассировкой – команда tracert.

Как устранить ошибку проверки подлинности rdp

8 мая 2021 г. Microsoft выпустило обновление, которое предотвращает удаленное выполнение кода с помощью уязвимости в протоколе CreedSSP.

После установки данного обновление пользователи не могут подключиться к удаленным ресурсам посредством RDP или RemoteApp. При подключении происходит такая ошибка:

Появление ошибки обусловлено установкой данных обновлений безопасности:

В данной статье мы рассмотрим варианты исправления данной ошибки.

Вариант №1: Убираем проверку подлинности.

Заходим в свойства компьютера, переходим на вкладку Удаленный доступ и снимаем галку с чекбокса.

Вариант №2 (рекомендуемый): Обновление клиентских и серверных ОС.

Устанавливаем специально выпущенные патчи обновления, которые закрыли уязвимость в RDP-клиенте. Данные обновления можно посмотреть на сайте Microsoft. После установки данного обновления, мы обновляем CredSSP.

Вариант №3: Через групповые политики.

Локально заходим в групповые политики устройства, к которому пытаемся подключиться. Для того чтобы открыть редактор групповых политик выполним следующее действие: Нажимаете Win R, а затем введите gpedit.msc. Переходите по данному пути: Конфигурация компьютера > Административные шаблоны > Система > Передача учетных данных > Защита от атак с использованием криптографического оракула.

В свойствах данной политики выбираем пункт Включено и ниже в параметрах выбираем уровень защиты Оставить уязвимость.

После того, как данные действия выполнены, необходимо зайти в командную строку от имени администратора и выполнить данную команду:

Вариант №4. Редактирование реестра.

Локально заходим на устройство, к которому пытаемся подключиться и нажимаем Win R. Вводим regedit. После того, как откроется редактор реестра идем по следующему пути:

Затем находим параметр AllowEncryptionOracle, открываем его и ставим значение 2.

После выполнения данных действий с реестром выполняем перезагрузку устройства.

Нужна помощь в настройке RDP-подключений? Обращайтесь к нам!

Конфигурирование автоматического выпуска сертификатов

Переходим в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies и выбираем Certificate Services Client — Auto-Enrollment Включаем автоматический выпуск сертификатов а так же настройки по их автоматическому обновлению:

Настройка политики автоматического выпуска сертификатов
Настройка политики автоматического выпуска сертификатов

Моментальный снимок решения

Задача: дать пользователям возможность проверить подключение к доверенному серверу Windows Terminal Services; обеспечить надежное принудительное шифрование RDP-трафика.

Решение: использовать SSL-функцию клиента Remote Desktop Connection в Windows 2003 SP1 и более поздних версиях ОС для проверки подлинности сервера и шифрования трафика.

Требуемые ресурсы: Windows 2003 SP1 или более поздняя версия ОС на сервере терминала; XP или Windows 2000 на клиентских ПК.

Уровень сложности: ***00.

Этапы решения:

  1. Установить и настроить программное обеспечение RDP-клиента на клиентской системе.
  2. Настроить клиентский компьютер на доверие к сертификатам, выданным CA корпоративной сети.
  3. Запросить сертификат для сервера терминала.
  4. Настроить сервер терминала на использование SSL.
  5. Протестировать соединение.

Настройка безопасного rdp доступа к рабочей машине?

Добрый день товарищи! Хочу реализовать возможность безопасного подключения к рабочей машине. Суть такова — имеется машина на win7, хочу сделать проверку при подключении по rdp более надежную, нежели просто логин/пароль.

Покапав в интернете нашел много различный вариантов. Хотелось бы реализовать такой метод, чтобы на клиентских машинах, вне корпоративной сети, с которых я буду подключаться, нужно было минимум доп.сотфа.

В идеале использовать только стандартные средства ms windows, без установки vpn клиентов, драйверов, токенов, смарткарт или подобного. Разворачивать в сети win server, с центром сертификации, для подключения к 1 машине думаю лишне, да и лицензию покупать надо.

Что посоветуете?

P.s. было бы круто сделать просто самопальный сертификат, сбросить на его на флеху, а рабочую машину заставить проверять есть ли нужный сертификат у клиента.

P.P.S в мир электронных сертификатов, шифрования и подобной паранойи попал впервые, поэтому от огромного количества решений по госту, iso и других технологий просто голова идет кругом.

P.P.P.S эти розовые фантазии навеяны необходимость часто подключаться с разных пк в наших филиалах. Каждый раз ставить ПО, для того чтобы подключиться к своей машине больно накладно, а подключаться придется часто.

Отключаем nla

Потребуется отключить Network Level Authentication. Это делается через меню «Удаленный доступ», которое найдете в свойствах системы. Необходимо поставить галочку или точку напротив следующей категории: «Разрешить подключения только с компьютеров…..».

Альтернативным вариантом остается отключение подлинности на уровне NLA.

  1. Начинаем наш путь в недра ПК с конфигураций компьютера.
  2. Далее переходим по «Административным шаблонам».
  3. «Компоненты Windows» позволят отыскать такой важный путь как «Службы удаленных рабочих столов».
  4. Продолжаем двигаться и теперь отыщем «Узел сеансов удаленных рабочих столов». Последним этапом поисков становится «Безопасность».
  5. Когда конечная директория найдена, в среднем окне отключаем следующую службу «Требовать проверку подлинности пользователя…». Снова ориентироваться нужно по последнему вкладышу – на многих ОС необходимая служба последняя.

Тут же подымаясь немного выше, замечаем пункт с названием «Требовать использования специального…». Он очень важен. Необходимо выставить корректный уровень безопасности. Переводим значение на нужный сервер RDP.

Обязательно перезапустите систему – без этого шага внесенные изменения не вступят в силу.

Очистка bitmap кэша rdp

В клиенте Remote Desktop Connection есть функционал кэширования изображений (persistent bitmap caching). Клиент RDP при подключении сохраняет редко изменяющиеся куски удаленого экрана в виде кэша растровых изображений. Благодаря этому клиент mstsc.exe загружает из локального кэша части экрана, которые не изменились с момента последней прорисовки. Этот механизм кэширования RDP уменьшает количество данных, передаваемых по сети.

RDP кэш представляет собой два типа файлов в каталоге %LOCALAPPDATA%MicrosoftTerminal Server ClientCache:

В этих файлах хранятся сырые растровые изображения RDP экрана в виде плиток 64×64 пикселя. С помощью простых PowerShell или Python скриптов (легко ищутся по запросу RDP Cached Bitmap Extractor) можно получить PNG файлы с кусками экрана рабочего стола и использовать их для получения конфиденциальной информации. Размер плиток мал, но достаточен для получения полезной информации для изучающего RDP кэш.

Вы можете запретить RDP клиенту сохранять изображение экрана в кэш, отключив опцию Persistent bitmap caching (Постоянное кэширование точечных рисунков) на вкладке Advanced.

Ошибка сертификата при подключении по rdp: а как его обновить/заменить?

Добрый день друзья!

Имеется сервер RDP на базе раскуроченной Windows 7.
Так уж вышло, что на сервере, для правильной работы одного хитрого приложения, пришлось выставить системную дату на 2021 год (дабы избавиться от назойливых попапов с просьбой обновиться).

В связи с этим, поскольку системная дата на сервере отстает аж на 3 года, при подключении по RDP клиент ругается, что сертификат бука бяка, просрочен и так далее. Собственно если взглянуть на сертификат, принимаемый от сервера, то да: выпущен в 2021 году. заканчивается в 2021 году, а в реальности на клиенте 2020 год… Просрочен.

Вопрос: как на сервере перекурочить сертификат (и где он вообще лежит и как генерируется) таким образом, чтобы он жил не тужил хотя бы лет 5…? Возможно ли это?

Другой вариант извращений – если предложте, буду рад и благодарен!

Подключение через шлюз

Для подключения откройте стандартное приложение Windows Подключение к удаленному рабочему столу (mstsc.exe). На вкладке Дополнительно нажмите на кнопку Параметры.

В открывшемся окне выберите Использовать следующие параметры сервера шлюза удаленных рабочих столов. Введите имя сервера в следующем формате и нажмите OK:rdgateway.<ваш домен>:<порт>

На вкладке Общие в поле Компьютер введите домен, в поле Пользователь имя пользователя и нажмите Подключить. При необходимости можете сохранить параметры входа.

Примечание: пользователь должен иметь права подключения через шлюз, которые были настроены ранее.

Введите пароль от учетной записи.

В результате будет произведено подключение к удаленному рабочему столу через шлюз RD Gateway. Это можно проверить с помощью команды tracert:

Из вывода видно, что трассировка идет через шлюз.

Проверка работоспособности

После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат. Если этого не произошло, стоит обратить внимание на:

  1. Отсутствие в правильной группе безопасности, которая указана в шаблоне;
  2. Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.

Проверить что сертификат был успешно выпущен можно в консоли ADCS:

Успешно выданный сертификат RDP
Успешно выданный сертификат RDP

При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат.

Проверка правильности сертификата в RDP подключении
Проверка правильности сертификата в RDP подключении

Решение:

  1. Используйте «Службу сертификации AD», поставляемую с WIndowsServer, для генерации всегоPKIТо есть, с полной системой сертификации, естественно, все соответствующие вопросы сертификации решены. Недостаток в том, что операция очень сложная, преимущество безопасное, коммерческого уровня!
  2. Использование OpenSSL для самостоятельного создания сертификата сэкономит много шагов по сравнению с первым методом. Он прост в использовании и подходит для разработки и тестирования. Недостатком является то, что уровень безопасности не может достигать высоты для коммерческого использования. сертификат)

Сложность:

  1. Клиент должен проверить статус отзыва сертификата при подключении к удаленному рабочему столу сервера. Есть два способа проверить статус отзыва сертификата:CRL и OSCP
    1.1 OCSP
    По умолчанию параметр проверки пути сертификата использует OCSP, но поскольку мы являемся самозаверяющим сертификатом, Windows всегда будет запрашивать «Invalid Signer EKU» / «Invalid Signer EKU» при проверке, поэтому Мы не можем использовать этот метод для проверки статуса отзыва сертификата.
    1.2 CRL
    Когда OCSP не может удовлетворить наши потребности, мы можем использовать только CRL для проверки статуса отзыва сертификата, поэтому нам также нужно использовать сайт для предоставления CRL
  2. Гибкое использование в OpenSSLx509v3_config, В настоящее время во многих статьях не говорится о том, как добавить в сертификатТочка распространения CRLАвторизованный доступ к информацииПричиной получения информации о расширении является то, что применение расширения сертификата X509z не понято. Конечно, в нем упоминается много статей, но оно не указано четко, что может смутить читателей.Читатели, использующие OpenSSL, настоятельно рекомендуютсяx509v3_config – X509 V3 certificate extension configuration format

Binggui быстро, бой в реальном времени!

Смена стандартного порта remote desktop protocol

Начнем со стандартной меры — смены стандартного порта Windows 2021 RDP, что позволит предотвратить атаку всем известных портов (well-known ports).Настройку порта можно осуществить с помощью реестра — HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminalServerWinStationsRDP-TcpPortNumber.

Рис. 1. Смена порта RDP в Windows Server 2021 с помощью редактора реестра

После этого запустите Брандмауэр Windows и на боковой панели слева выберите Дополнительные параметры. Далее — Правила для входящих соединений и нажмите кнопку Создать правило (на панели справа)

Рис. 2. Правила для входящих подключений

В появившемся окне выберите Для порта и нажмите кнопку Далее. Затем выберите Определенные локальные порты и введите порт, указанный при редактировании реестра (рис. 3). В следующем окне мастера нужно выбрать Разрешить подключение(рис. 4).

Рис. 3. Задаем новый порт

Рис. 4. Разрешаем подключение

Собственно, на этом настройка завершена. Отключитесь от сервера и установите новое соединение. Не забудьте в настройках RDP-клиента Windows Server 2021 указать новый порт: IP-адрес_сервера: порт.

Создание шаблона сертификата rdp в adcs

Первый шаг состоит в создании шаблона сертификата, с помощью которого Windows клиенты будут автоматически генерировать сертификаты используемые в RDP подключениях. Для этого в оснастке ADCS переходим к управлению шаблонами сертификатов:

Открытие оснастки управления шаблонами ADCS
Открытие оснастки управления шаблонами ADCS

Дублируем сертификат Computer

Дублирование шаблона компьютера
Дублирование шаблона компьютера

Задаем имя будущего шаблона:

Задание имени шаблона RDP
Задание имени шаблона RDP

Указываем настройки совместимости:

Настройка совместимости шаблона сертификата RDP
Настройка совместимости шаблона сертификата RDP

В Extensions, необходимо задать правильные Application Policies для  поддержки TLS в RDP протоколе

Редактирование расширений шаблона сертификата RDP
Редактирование расширений шаблона сертификата RDP

Для этого удаляем Client Authentication и Server Authentication и добавляем Remote Desktop Authentication с OID 1.3.6.1.4.1.311.54.1.2, как показано на скриншоте:

Создание Application Policy для сертификата RDP
Создание Application Policy для сертификата RDP

Далее, необходимо задать группу безопасности, члены которой должны автоматически сгенерировать сертификат по этому шаблону. Для этого добавляем нужную группу безопасности в DACL и назначаем соответствующие права:

Настройки безопасности шаблона сертификата RDP
Настройки безопасности шаблона сертификата RDP

Завершающим шагом будет его выпуск на выдающем корпоративном ЦС:

Выпуск сертификата RDP
Выпуск сертификата RDP

Тестируем соединение

После того как сервер терминала будет настроен на использование SSL, можно подключиться к серверу с рабочих станций. На экране 4 показан образец предупреждения, выдаваемого, если вместо указанного в сертификате полного имени домена введен IP-адрес сервера и если клиент не доверяет CA, выдавшему серверу сертификат.

Следует всегда использовать полное имя сервера терминала в клиенте Remote Desktop Connection для безошибочного подключения. Предупреждение также указывает, что с сертификатом сервера не все в порядке. В действительности это не так; просто клиент не доверяет CA, выдавшему сертификат серверу.

После загрузки и установки корневого сертификата центра сертификации на рабочей станции и ввода FQDN-сервера в клиенте Remote Desktop Connection будет установлено безопасное SSL-соединение с сервером. На безопасное соединение указывает маленький значок замка в правом верхнем углу экрана. Щелкнув на значке, можно получить информацию о сертификате сервера.

Удаление журнала rdp подключений из реестра системы

 Информация о всех RDP подключениях хранится в реестре каждого пользователя. Удалить компьютер(ы) из списка истории RDP подключений штатными средствами Windows не получится. Придется вручную удалять параметры из реестра системы.

  1. Откройте редактор реестра regedit.exe и перейдите в ветку HKEY_CURRENT_USERSoftwareMicrosoftTerminalServerClient;
  2. Внутри этого раздела нас интересуют две ветки: Default (хранит историю о 10 последних RDP подключениях) и Servers (содержит список всех RDP серверов и имен пользователей, используемых ранее для входа);Terminal Server Client MRU ветка реестра с последними RDP подключениями
  3. Разверните ветку реестра HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault, в которой содержится список 10 адресов или имен удаленных компьютеров, которые использовались последними (MRU – Most Recently Used). Имя (IP адрес) удаленного сервера хранится в значении ключа MRU*. Чтобы очистить историю последних RDP-соединений, выделите все ключи с именами MRU0-MRU9, щелкните правой клавишей и выберите пункт Delete;очистка rdp истории в реестре
  4. Теперь разверните ветку HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers. В ней содержится список всех RDP подключений, которые использовались ранее под этим пользователем. Разверните ветку с именем (IP адресом) любого хоста. Обратите внимание на значение параметра UsernameHint (подсказка имени пользователя). В нем указано имя пользователя, использующееся для подключения к RDP/RDS хосту. Именно это имя пользователя будет подставлено в окно клиента mstsc.exe, когда вы в следующий раз попытаетесь подключится к этому хосту. Кроме того в переменной CertHash находится отпечаток RDP сертификата сервера (см. статью о настройке доверенных TLS/SSL сертфикатов для RDP);сохраненные данные rdp сервера в реестра windows
  5. Чтобы очистить историю всех RDP-подключений и сохраненных имен пользователей нужно очистить содержимое ветки реестра Servers. Т.к. выделить все вложенные ветки не получится, проще всего удалить ветку Servers целиком, а затем пересоздать ее вручную;удалить историю rdp подключений
  6. Кроме указанных выше параметров и веток реестра, вам необходимо удалить файл дефолтного RDP подключения Default.rdp. В этом файле хранится информацию о самом последнем RDP подключении. Файл является скрытым и находится в каталоге Documents (Документы);
  7. Windows также сохраняет историю RDP подключений в списках быстрого перехода (jump lists). Если вы наберете в поисковой строке Windows 10 mstsc, то в списке появится ранее использованные RDP подключения. Вы можете отключить ведение истории быстрого перехода с помощью dword параметра реестра Start_TrackDocs в ветке  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, либо можно очистить списки Resent Items, удалив файлы в каталоге %AppData%MicrosoftWindowsRecentAutomaticDestinations.mstsc.exe rdp recent items

Примечание. Описанная методика очистки истории подключений Remote Desctop Connection  применима для всех версий десктопных версий (от Windows XP и до Windows 10) и для серверных платформ Windows Server.

Установить сертификат удаленного рабочего стола

Используйте командыcertmgr.msc Откройте диспетчер сертификатов и развернителичный->сертификат, Дважды щелкните сертификат, который мы только что импортировали, выберитеДля получения более подробной информацииИ найтиотпечаток пальца, Скопируйте его содержимое в блокнот (или командную строку), удалитепустойЗапасной.PS: первая строка шестнадцатеричных пробелов скрыта.

Используйте команду

wmic / namespace: \ root  cimv2  TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "Отпечаток пальца только что обработан"

Появляется слово «успешное обновление», в случае неудачи внимательно проверьте детали.

Установка ssl-сертификата

Для шлюза удаленного рабочего стола должен быть установлен SSL-сертификат. Чтобы установить SSL-сертификат, щелкните имя сервера удаленного рабочего стола в консоли управления удаленным рабочим столом и выберите View or modify certificate properties.

Возможно 3 способа импорта сертификатов:

  • создание самоподписанного сертификата и его импорт;
  • импорт ранее загруженного сертификата (самоподписанного или стороннего);
  • загрузка стороннего сертификата (например, Comodo) и его импорт;

Выберите подходящий вам способ, в нашем примере мы рассмотрим первый случай с генерацией и импортом самоподписанного сертификата.

Введите имя сертификата и его расположение на сервере. Нажмите OK.

Сертификат будет сгенерирован.

В результате отобразится – кому, кем и до какого числа выдан ssl-сертификат. Нажмите Apply для сохранения изменений.

Теперь самоподписанный SSL-сертификат успешно установлен на TCP-порт 443 (порт SSL по умолчанию).

В целях безопасности рекомендуется изменить порт SSL для шлюза удаленных рабочих столов на другой номер. Обычно компании делают это, чтобы попытаться обмануть хакеров, которые могут ориентироваться на стандартный порт 443.

Чтобы изменить номер порта для шлюза RD, щелкните правой кнопкой мыши имя сервера и выберите свойства в консоли управления удаленным рабочим столом (Action →Properties).

Установка и настройка клиента rdp

В системах Windows 2003 SP1 и более поздних файлы для нового клиента Remote Desktop Connection (версия 5.2.3790.1830) можно найти в папке C:windowssystem32clients sclientwin32. Следует учесть, что в настоящее время исходные файлы для установки версии 5.2 клиентской программы в рабочей станции имеются только в Windows 2003 SP1.

Файлы нужно разместить в папке win32 на общем диске, доступном для рабочих станций в сети предприятия. После этого можно вручную установить обновленный клиент Remote Desktop Connection на рабочей станции Windows XP или Windows 2000, подключившись к общему диску, запустив файл setup.exe и следуя инструкциям программы.

В версии 5.2 клиента Remote Desktop Connection появилась вкладка Security (экран 1), на которой можно указать, следует ли клиенту проверять сертификат сервера перед подключением к серверу. Возможны три варианта.

  • No authentication – клиент не пытается проверить сертификат сервера перед подключением. Если для связи с сервером требуется аутентификация SSL, то клиент не сможет установить соединение.
  • Require authentication – клиент проверяет сертификат сервера перед подключением к серверу. Если клиент не может определить подлинность сервера, то соединение с сервером установлено не будет.
  • Attempt authentication – клиент проверяет сертификат сервера перед подключением к серверу. Клиент может установить соединение с сервером с SSL-аутентификацией или без нее, в зависимости от конфигурации сервера, даже если клиенту не удается полностью удостоверить подлинность сервера.
Оцените статью
Мой сертификат
Добавить комментарий