इस लेख में हम दिखाएंगे कि सक्रिय निर्देशिका डोमेन में विंडोज कंप्यूटर या सर्वर से आरडीपी कनेक्शन सुरक्षित करने के लिए विश्वसनीय एसएसएल / टीएलएस प्रमाणपत्रों का उपयोग कैसे करें। हम डिफ़ॉल्ट स्व-हस्ताक्षरित आरडीपी प्रमाणपत्रों के बजाय विश्वसनीय एसएसएल प्रमाणपत्रों का उपयोग करेंगे (तब एक स्व-हस्ताक्षरित आरडीपी प्रमाणपत्र का उपयोग करते हुए, उपयोगकर्ता को एक चेतावनी प्राप्त होती है कि होस्ट से कनेक्ट होने पर प्रमाणपत्र विश्वसनीय नहीं है)। इस उदाहरण में, हम प्रमाणपत्र प्राधिकरण और एक समूह नीति में एक कस्टम आरडीपी प्रमाणपत्र टेम्पलेट को कॉन्फ़िगर करेंगे ताकि दूरस्थ डेस्कटॉप सेवाओं के लिए एक एसएसएल / टीएलएस प्रमाणपत्र को स्वचालित रूप से जारी और बाध्य किया जा सके।
रिमोट डेस्कटॉप कनेक्शन (RDP) स्व-हस्ताक्षरित प्रमाणपत्र चेतावनी
डिफ़ॉल्ट रूप से, RDP सत्र सुरक्षित करने के लिए Windows एक स्व-हस्ताक्षरित प्रमाणपत्र बनाता है। Mstsc.exe क्लाइंट का उपयोग करते हुए किसी RDP/RDS होस्ट से पहले कनेक्शन के दौरान, उपयोगकर्ता को निम्न चेतावनी दिखाई देती है:
The remote computer could not be authenticated due to problems with its security certificate. It may be unsafe to proceed. Certificate error: The certificate is not from a trusted certifying authority.
आरडीपी कनेक्शन को आगे बढ़ाने और स्थापित करने के लिए, उपयोगकर्ता को हां . पर क्लिक करना होगा . RDP प्रमाणपत्र चेतावनी को हर बार प्रदर्शित होने से रोकने के लिए, आप "इस कंप्यूटर से कनेक्शन के लिए मुझसे दोबारा न पूछें" विकल्प को चेक कर सकते हैं।
इस मामले में RDP प्रमाणपत्र थंबप्रिंट CertHash . में सहेजा जाता है क्लाइंट पर RDP कनेक्शन इतिहास के साथ रजिस्ट्री कुंजी का पैरामीटर (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\ ) यदि आपने यह चेतावनी छिपाई है कि RDP सर्वर सत्यापित नहीं किया जा सकता है, तो सेटिंग्स को रीसेट करने के लिए प्रमाणपत्र थंबप्रिंट को रजिस्ट्री से हटा दें।
सर्टिफिकेट अथॉरिटी (CA) में RDP सर्टिफिकेट टेम्प्लेट बनाएं
आइए आरडीपी कनेक्शन सुरक्षित करने के लिए कॉर्पोरेट प्रमाणपत्र प्राधिकरण द्वारा जारी एक विश्वसनीय एसएसएल / टीएलएस प्रमाणपत्र का उपयोग करने का प्रयास करें। इस प्रमाणपत्र का उपयोग करते हुए, उपयोगकर्ता कनेक्ट करते समय RDP सर्वर को प्रमाणित कर सकता है। मान लीजिए, कि आपके डोमेन में एक कॉर्पोरेट Microsoft प्रमाणपत्र प्राधिकरण पहले से ही तैनात है। इस मामले में, आप डोमेन में सभी विंडोज़ कंप्यूटरों और सर्वरों के लिए स्वचालित समस्या और प्रमाणपत्रों के कनेक्शन को कॉन्फ़िगर कर सकते हैं।
आपको अपने CA में RDP/RDS होस्ट के लिए एक नए प्रकार का प्रमाणपत्र टेम्पलेट बनाना होगा:
- प्रमाणपत्र प्राधिकरण कंसोल चलाएँ और प्रमाणपत्र टेम्पलेट अनुभाग में जाएँ;
- कंप्यूटर प्रमाणपत्र टेम्प्लेट का डुप्लिकेट बनाएं (प्रमाणपत्र टेम्प्लेट -> प्रबंधित करें -> कंप्यूटर -> डुप्लिकेट);
- सामान्य . में टैब में, नए प्रमाणपत्र टेम्पलेट का नाम निर्दिष्ट करें – RDPTemplate . सुनिश्चित करें कि टेम्पलेट नाम . में मान फ़ील्ड टेम्पलेट प्रदर्शन नाम; . से मेल खाती है
- संगतता . में टैब में, अपने डोमेन में प्रयुक्त न्यूनतम क्लाइंट संस्करण निर्दिष्ट करें (उदाहरण के लिए, CA के लिए Windows Server 2008 R2 और आपके क्लाइंट के लिए Windows 7)। इस प्रकार, मजबूत एन्क्रिप्शन एल्गोरिदम का उपयोग किया जाएगा;
- फिर, एक्सटेंशन . के ऐप्लिकेशन नीति अनुभाग में टैब, प्रमाणपत्र के उपयोग के दायरे को दूरस्थ डेस्कटॉप प्रमाणीकरण . तक सीमित करें केवल (निम्न ऑब्जेक्ट पहचानकर्ता दर्ज करें — 1.3.6.1.4.1.311.54.1.2 ) जोड़ें पर क्लिक करें -> नया, एक नई नीति बनाएं और उसका चयन करें;
- प्रमाणपत्र टेम्प्लेट सेटिंग (एप्लिकेशन नीतियां एक्सटेंशन) में, दूरस्थ डेस्कटॉप प्रमाणीकरण को छोड़कर सभी नीतियां हटा दें;
- अपने डोमेन नियंत्रकों पर इस RDP प्रमाणपत्र टेम्पलेट का उपयोग करने के लिए, सुरक्षा . खोलें टैब में, डोमेन नियंत्रक जोड़ें समूह और सक्षम करें नामांकन करें और स्वतः नामांकन इसके लिए विकल्प;
- प्रमाणपत्र टेम्पलेट सहेजें;
- फिर सर्टिफिकेट अथॉरिटी एमएमसी स्नैप-इन में, सर्टिफिकेट टेम्प्लेट फोल्डर पर क्लिक करें और नया -> चुनें सर्टिफिकेट टेम्प्लेट जारी करने के लिए -> आपके द्वारा बनाया गया टेम्प्लेट चुनें (RDPTemplate );
समूह नीति का उपयोग करके RDP SSL/TLS प्रमाणपत्र कैसे परिनियोजित करें?
अब आपको कॉन्फ़िगर किए गए टेम्पलेट के अनुसार कंप्यूटर/सर्वर को RDP प्रमाणपत्र स्वचालित रूप से असाइन करने के लिए एक डोमेन GPO कॉन्फ़िगर करने की आवश्यकता है।
यह माना जाता है कि सभी डोमेन कंप्यूटर कॉर्पोरेट सर्टिफिकेट अथॉरिटी पर भरोसा करते हैं, यानी रूट सर्टिफिकेट को GPO का उपयोग करके ट्रस्टेड रूट सर्टिफिकेट अथॉरिटीज में जोड़ा गया है।- डोमेन समूह नीति प्रबंधन कंसोल (gpmc.msc) खोलें, एक नया GPO ऑब्जेक्ट बनाएं और RDP कनेक्शन को सुरक्षित करने के लिए TLS प्रमाणपत्र स्वचालित रूप से जारी करने के लिए RDP/RDS सर्वर या कंप्यूटर वाले OU से लिंक करें;
- निम्न GPO अनुभाग पर जाएं कंप्यूटर कॉन्फ़िगरेशन -> नीतियां -> व्यवस्थापकीय टेम्पलेट -> Windows घटक -> दूरस्थ डेस्कटॉप सेवाएं -> दूरस्थ डेस्कटॉप सत्र होस्ट -> सुरक्षा। सर्वर प्रमाणीकरण प्रमाणपत्र टेम्पलेट सक्षम करें नीति। आपके द्वारा पहले बनाए गए CA टेम्पलेट का नाम निर्दिष्ट करें (RDPTemplate );
- फिर उसी GPO अनुभाग में, रिमोट (RDP) कनेक्शन के लिए विशिष्ट सुरक्षा परत के उपयोग की आवश्यकता को सक्षम करें नीति और मान सेट करें SSL इसके लिए;
- किसी RDP प्रमाणपत्र को स्वचालित रूप से नवीनीकृत करने के लिए, कंप्यूटर कॉन्फ़िगरेशन -> Windows सेटिंग्स -> सुरक्षा सेटिंग्स -> GPO के सार्वजनिक कुंजी नीतियां अनुभाग पर जाएं और प्रमाणपत्र सेवा क्लाइंट - स्वतः नामांकन गुण को सक्षम करें। नीति। "समाप्त प्रमाणपत्रों को नवीनीकृत करें, लंबित प्रमाणपत्रों को अपडेट करें और निरस्त किए गए प्रमाणपत्रों को हटाएं . की जांच करें ” और “प्रमाण पत्र टेम्प्लेट का उपयोग करने वाले प्रमाणपत्र अपडेट करें "विकल्प;
- यदि आप चाहते हैं कि आपके क्लाइंट हमेशा RDP सर्वर प्रमाणपत्र को सत्यापित करें, तो आपको क्लाइंट के लिए प्रमाणीकरण कॉन्फ़िगर करें =प्रमाणीकरण विफल होने पर मुझे चेतावनी दें को कॉन्फ़िगर करना होगा। नीति (कंप्यूटर कॉन्फ़िगरेशन -> नीतियां -> व्यवस्थापकीय टेम्प्लेट -> Windows घटक -> दूरस्थ डेस्कटॉप सेटिंग -> दूरस्थ डेस्कटॉप कनेक्शन क्लाइंट);
- यदि आवश्यक हो, तो फ़ायरवॉल नीतियों का उपयोग करके आने वाले RDP पोर्ट TCP/UDP 3389 को खोलें;
- फिर क्लाइंट कंप्यूटर पर समूह नीति सेटिंग अपडेट करें, कंप्यूटर प्रमाणपत्र कंसोल लॉन्च करें (
Certlm.msc) और सुनिश्चित करें कि आपके सीए द्वारा जारी किया गया दूरस्थ डेस्कटॉप प्रमाणीकरण प्रमाणपत्र व्यक्तिगत -> प्रमाणपत्र अनुभाग में दिखाई दिया है।
नया RDP प्रमाणपत्र लागू करने के लिए, दूरस्थ डेस्कटॉप सेवाएँ पुनः प्रारंभ करें:
Get-Service TermService -ComputerName mun-dc01| Restart-Service –force –verbose
उसके बाद, आरडीपी का उपयोग कर सर्वर से कनेक्ट करते समय, आपको यह पुष्टि करने का अनुरोध नहीं दिखाई देगा कि प्रमाणपत्र विश्वसनीय है (अनुरोध देखने के लिए, सर्वर से कनेक्ट करें जो एफक्यूडीएन के बजाय अपने आईपी पते का उपयोग करने के लिए प्रमाणपत्र जारी किया गया है)। देखें Click क्लिक करें प्रमाणपत्र, विवरण पर जाएं टैब करें और मान को थंबप्रिंट . में कॉपी करें क्षेत्र।
जारी किए गए प्रमाणपत्र . में प्रमाणन प्राधिकरण कंसोल के अनुभाग में, आप यह सुनिश्चित कर सकते हैं कि विशिष्ट Windows सर्वर/कंप्यूटर के लिए RDPTemplate प्रमाणपत्र जारी किया गया है। प्रमाणपत्र भी देखें थंबप्रिंट मूल्य:
फिर इस थंबप्रिंट की तुलना रिमोट डेस्कटॉप सर्विस द्वारा उपयोग किए जाने वाले सर्टिफिकेट थंबप्रिंट से करें। आप रजिस्ट्री में RDS प्रमाणपत्र थंबप्रिंट का मान देख सकते हैं (HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations , टेम्पलेट प्रमाणपत्र पैरामीटर) या निम्न पावरशेल कमांड का उपयोग कर:
Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash
फिर, किसी भी Windows होस्ट के दूरस्थ डेस्कटॉप से कनेक्ट करते समय, आपको एक अविश्वसनीय RDP प्रमाणपत्र की चेतावनी दिखाई नहीं देगी।
विश्वसनीय TLS प्रमाणपत्र थंबप्रिंट के साथ RDP फ़ाइल पर हस्ताक्षर करना
यदि आपके पास CA नहीं है, लेकिन आप नहीं चाहते कि आपके उपयोगकर्ता RDP/RDS होस्ट से कनेक्ट होने पर चेतावनियां देखें, तो आप उपयोगकर्ता कंप्यूटर पर विश्वसनीय लोगों के लिए प्रमाणपत्र जोड़ सकते हैं।
ऊपर बताए अनुसार RDP प्रमाणपत्र थंबप्रिंट का मान प्राप्त करें:
Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash
RDPSign.exe . के साथ .RDP फ़ाइल पर हस्ताक्षर करने के लिए इस फ़िंगरप्रिंट का उपयोग करें उपकरण:
rdpsign.exe /sha256 25A27B2947022CC11BAFF261234567DEB2ABC21 "C:\ps\mun-dc01.rdp"
फिर इस थंबप्रिंट को GPO का उपयोग करने वाले उपयोगकर्ता कंप्यूटर पर विश्वसनीय प्रमाणपत्रों में जोड़ें। विश्वसनीय .rdp प्रकाशकों का प्रतिनिधित्व करने वाले प्रमाणपत्रों के SHA1 अंगूठे के निशान निर्दिष्ट करें में अंगूठे के निशान (अर्धविराम से अलग) निर्दिष्ट करें। कंप्यूटर कॉन्फ़िगरेशन में नीति -> नीतियां -> व्यवस्थापकीय टेम्पलेट -> Windows घटक -> दूरस्थ डेस्कटॉप सेटिंग -> दूरस्थ डेस्कटॉप कनेक्शन क्लाइंट।
पासवर्ड दर्ज किए बिना पारदर्शी आरडीपी लॉगऑन को कॉन्फ़िगर करने के लिए (आरडीपी सिंगल साइन ऑन), डेलिगेशन डिफ़ॉल्ट क्रेडेंशियल की अनुमति दें कॉन्फ़िगर करें नीति और उसमें आरडीपी/आरडीएस होस्ट नाम निर्दिष्ट करें (इसे कैसे करें पर यह आलेख देखें)।