7 апреля 2011 г.

Подписываем RemoteApp сертификатом

При настройке RemoteApp многие системные администраторы игнорируют возможность подписать RDP-файлы с помощью сертификата выданным доверенным центром сертификации. Какие положительные моменты мы сможем получить, если подпишем RDP-файл? Ответ очень прост: сертификат позволяет пользователям распознавать ресурсы организации и доверять им. Так же системный администратор может запретить выполнение не подписанных RDP-файлов, и  запретить выполнение RDP-файлов которые подписаны сертификатами выданные не "доверенными" центрами сертификации.
И так начнемс…

Шаг 1:
Выдаем сертификат для нашего RemoteApp приложения (приложений) доверенным ЦС:
Открываем оснастку Сертификаты - Учетной записи компьютера:

clip_image002
Далее Личное – Сертификаты – Действие – Все задачи – Запросить новый сертификат. Следуя мастеру, запрашиваем сертификат.

clip_image004

Шаг 2:
Открываем диспетчер удаленных приложений RemoteApp (remoteprograms.msc). Изменяем параметры цифровой подписи, указываем сертификат, который мы получили пунктом выше.

clip_image005

Шаг 3:
Создадим RDP-файл, который будет использовать в качестве цифровой подписи сертификат.

Шаг 4:
Переходим настройке групповых политик. Мы будем редактировать следующие Компоненты Windows – Службы удаленных рабочих столов – Клиент подключения к удаленному рабочему столу – Разрешить RDP-файлы от неизвестных издателей и Компоненты Windows – Службы удаленных рабочих столов – Клиент подключения к удаленному рабочему столу –Указать отпечатки SHA1 сертификатов. Эти групповые политики доступны как в разделе Конфигурация Компьютера, так и Конфигурация Пользователя
Указываем отпечаток нашего сертификата

clip_image006

в групповой политике «Указать отпечатки SHA1 сертификатов»
clip_image008

Если этого не сделать, то при запуске приложения мы получим сообщение о том, что нужно проверить издателя приложения

clip_image009

И параметр «Разрешить RDP-файлы от неизвестных издателей» зададим «Отключить».

Подводим итоги:

При запуске RDP-файла подписанного с помощью сертификата от пользователя требуется ввести только логин и пароль. Но если воспользоваться CredSSP (Credential Security Service Provider),то от пользователя «не требуется ничего»…
Что же произойдет ели RDP-файл подписан «неправильными» сертификатом или вовсе RDP-файл не будет подписан сертификатом? Пользователю просто будет отказано в доступе к серверу.

clip_image010








-------------------------------------------------------------------------------

P.S Если Вам понравилась статья, или статья была Вам интересна – кликните на рекламе :)


Комментариев нет:

Отправить комментарий