- Описание основных этапов и «подводных камней» перехода на удаленный режим работы, в том числе для организаций, численность сотрудников которых более 50, от компании «аладдин р.д.»
- Почему novnc?
- Топ-3 причин «почему важно перейти на удаленный режим работы»
- Novnc и websockify
- Openssl
- Remote desktop client (rdp, remoteapp) и revocation checking – windows – компьютерное железо
- Remote desktop gateway
- Ssl/tls vpn
- Буфер обмена
- Добавляем novnc, как windows-сервис
- Добавляем ssl с самоподписанным сертификатом
- Защита rdp подключения
- Заявление
- Изменить групповую политику
- Импорт сертификата на сервер шлюза удаленных рабочих столов
- Импортировать корневой сертификат
- Как подключить сертификат подписанный ad cs к rpd
- Конфигурирование автоматического выпуска сертификатов
- Криптопро | пакет «защищенный удаленный доступ». быстро, удобно, безопасно!
- Назначение
- Настройка безопасного rdp доступа к рабочей машине?
- Настройте openssl.cnf
- О openca:
- О ходе исследований автора ocsp
- Общая схема
- Одно устройство – много возможностей
- Отозвать сертификат
- Предисловие
- Преимущества
- Проверка работоспособности
- Раскладка клавиатуры
- Распространение
- Решение:
- Рутокен vpn
- Сложность:
- Создание групповой политики для rdp подключений
- Создание шаблона сертификата rdp в adcs
- Создать сертификат сервера
- Ставим vnc
- Топ-3 ошибок «какие ошибки могут допускать работодатели и сотрудники (и как их избежать)»
- Топ-3 рекомендаций «как сохранить рабочий настрой»
- Установить сертификат удаленного рабочего стола
- Шаг второй. и снова вопросы доверия
- Шаг нулевой. подготовка и вопросы доверия
- Шаг первый. размашисто подписываем файл
- ^. ^ пора положить конец этой грубой мелочи
- Создать список отзыва
Описание основных этапов и «подводных камней» перехода на удаленный режим работы, в том числе для организаций, численность сотрудников которых более 50, от компании «аладдин р.д.»
Сложившаяся ситуация с пандемией застала врасплох не только организации, которые и не рассматривали возможность удалённой работы сотрудников, но и тех, у кого подсистемы удалённого доступа используются успешно и достаточно давно. Сложно представить среднюю, а тем более крупную компанию, в которой для высшего менеджмента и разъездных сотрудников отсутствует возможность работать из любой точки планеты.
Однако процент таких сотрудников от общего числа работников традиционно был невысок, а организация перевода на дистанционную работу всей компании (или же почти всей) неминуемо влечёт за собой расширение в разы мощностей оборудования для решения данной задачи.
Например, некоторые крупные российские холдинги столкнулись с нехваткой производительности серверов доступа при тестировании одновременного подключения даже расчётного числа пользователей. Если проблему с оборудованием можно решить достаточно оперативно, то модернизация бизнес-процессов для «новых удалённых пользователей», их обучение и поддержка требует существенных людских и временных ресурсов.
Самый простой сценарий удалённого доступа – это организация VPN до корпоративной сети и в рамках этого соединения подключение, например, с помощью RDP, к своему рабочему столу (ОС Windows) на своём рабочем месте. Для реализации такой схемы зачастую достаточно только настройки компонент, которые уже входят в состав использующихся в компании клиентских и серверных операционных систем.
Почему novnc?
— У Windows есть «родное» средство для удалённого доступа — Remote Desktop Connection. Но оно есть не во всех версиях Windows — например нет в Home edition.
— Также существует множество VNC серверов и клиентов для любой версии Windows. Но для их использования нужно ставить VNC клиент. А бывают случаи, когда ставить ничего нельзя (ограничение прав), или нежелательно, чтобы не оставлять следов на чужом компьютере.
Топ-3 причин «почему важно перейти на удаленный режим работы»
1. Выполнение требований нормативных актов Президента, Правительства и глав субъектов Российской Федерации. 2. Для нашей компании (как и для многих ИТ- и ИБ-компаний) основной ресурс – это сотрудники. Допущение вспышки любого заболевания в организации чревато серьезными последствиями и вне кризиса, а при текущем положении дел может быть губительно для любой, даже крепко стоящей на ногах компании. 3. Сокращение издержек на обслуживание офиса.
Novnc и websockify
Создаём папку в удобном для себя месте, и загружаем туда:
— распаковываем zip архив noVNC— распаковываем zip архив WebSockify
Цель, чтобы получилось приблизительно вот так:
Теперь запускаем command prompt с администраторскими правами:
Запускаем WebSockify:
c:> cd c:noVNCwebsockify
c:noVNCwebsockify> websockify.exe 5901 127.0.0.1:5900 --web c:noVNCnoVNC-master
WARNING: no 'resource' module, daemonizing support disabled
WebSocket server settings:
- Listen on :5901
- Flash security policy server
- Web server. Web root: c:noVNCnoVNC-master
- No SSL/TLS support (no cert file)
- proxying from :5901 to 127.0.0.1:5900
Первый параметр выше — порт на котором noVNC будет слушать:
5901
. Этот порт нужно сделать доступным для клиентов.
Второй параметр — IP и порт, где стоит VNC сервер: 127.0.0.1:5900
Openssl
Автор использует Ubuntu, поэтому могут быть разные пути к файлам конфигурации OpenSSL для разных операционных систем. Пожалуйста, прочитайте файл конфигурации по умолчанию в соответствии с вашей ситуацией.Не используйте слишком старый OpenSSL, остерегайтесь уязвимостей.
Remote desktop client (rdp, remoteapp) и revocation checking – windows – компьютерное железо
В Интернете встречаются вопросы про проблемы подключения через RDP к серверу терминалов защищённому SSL сертификатом. При подключении пользователи видят:
И сообщение: A revocation check could not be performed for the certificate. В переводе — Не удалось проверить не был ли отозван этот сертификат. А если нажать на View certificate… выясняется, что всё в порядке, сертификат доверен и цепочка построена правильно. Что это такое и как с этим жить?
Причины здесь может быть 2:
1 Вариант
•Корневой сертификат цепочки сертификатов не установлен в Trusted Root CAs в *Компьютерном* хранилище сертификатов;
Эта проблема встречается примерно в 70-80% случаев появления этой ошибки. Многие привыкли устанавливать корневые сертификаты по двойному клику в пользовательское хранилище. Но, новый mstsc.exe проверяет цепочку сертификатов так, чтобы она заканчивалась на доверенном корневом сертификате установленном в компьютерном хранилище. Поскольку сертификат не доверенный, certificate chaining engine даже и не пытается проверить что-то на отзыв. Как установить сертификат туда:
1.Войдите в систему с правами локального Администратора.
2.На рабочем столе нажмите Start и Run… (в случае с Windows Vista/7 можете выделить поле Search programs and files) и в окне наберите MMC. Если появится окно UAC, подтвердите выполнение операции или введите пароль Администратора.
3.В открывшейся консоли нажмите File и Add/RemoveSnap-in.
4.В списке выделите Certificates и нажмите Add. В появившемся диалоговом окне переставьте переключатель в Computer account и нажмите Next.
5.В следующем окне нажмите Finish.
6.В раскрывшейся оснастке Certificates выделите папку Trusted Root CAs, нажмите правой кнопкой и выберите All Tasks –> Import. Следуйте инструкциям мастера для добавления корневого сертификата в компьютерное хранилище.
2 Вариант
•Какие-то CRL’ы в цепочке недоступны.
Когда сертификат выдаётся внутренним CA, но пользователи подключаются к серверу через интернет (например из дома подключаются к RemoteApp по https), очень часто файлы сертификатов и CRL’ы издающего CA недоступны из интернета. В данном случае необходимо связаться с Системным Администратором, чтобы он переконфигурировал расширения CDP так, чтобы CRL’ы были доступны и из интернета.
Remote desktop gateway
Брокер удаленных подключений Microsoft Remote Desktop Gateway предназначен для получения доступа только к рабочим местам сотрудников на Microsoft Windows.
Защита трафика при этом обеспечивается установкой КриптоПро CSP на Gateway и клиентские компьютеры (на которых запускается клиент удаленного доступа).
Инструкция по настройке находится в нашей Базе Знаний.
Ssl/tls vpn
Использование VPN позволяет предоставить и разграничить доступ к сетевой инфраструктуре компании. Для этих целей мы используем высокопроизводительный VPN-шлюз КриптоПро NGate и VPN-клиенты для Microsoft Windows, Apple macOS, Linux, а также iOS и Android. Дистрибутивы и документация доступны на нашем сайте.
Буфер обмена
Буфер обмена (клипборд) работает через кнопку в браузере (на скриншоте выше), то есть вы можете туда что-то положить и забрать на удалённой системе, или наоборот. И оно (у меня) не умеет работать с русскими буквами.
Добавляем novnc, как windows-сервис
Загружаем
, и распаковываем файлы оттуда так, чтобы они лежали в той же папке, где и файл
websockify.exe
, то есть в нашем случае в
c:noVNCwebsockify
При запуске, сервис будет использовать параметры из файла noVNCConfig.ini. Вот пример моего конфига:
5901 127.0.0.1:5900 --web C:noVNCnoVNC-master --cert=c:noVNCencrypt.pemВ консоли, запущенной с администраторскими привилегиями создаём новый сервис:
sc create "noVNC Websocket Server" binPath= "c:noVNCwebsockifynoVNC Websocket Service.exe" DisplayName= "noVNC Websocket Server"Если нужно будет удалить сервис, то вот так:
sc delete "noVNC Websocket Server"Добавляем ssl с самоподписанным сертификатом
Добавлять SSL — необязательно. Создать самоподписанный сертификат можно вот так:
openssl req -new -x509 -days 365 -nodes -out self.pem -keyout self.pem
Для Windows openssl можно взять
В результате получаем файл self.pem, на который надо указать при старте noVNC:
c:noVNCwebsockify> websockify.exe 5901 127.0.0.1:5900 --web c:noVNCnoVNC-master --cert=c:noVNCself.pemЗащита rdp подключения
Заявление
Эта статья используетCreative Commons Attribution-Non-Commercial Use-Share Alike 2.5 Лицензионное соглашение с КитаемЛицензировано, опубликовано наCSDNиБлог ПаркЧитатели могут перепечатывать, но это утверждение параграфа должно быть сохранено без согласия автора, а оригинальная текстовая ссылка дана в очевидной позиции на странице статьи! Читатели / сканеры уважаютавторское право
Изменить групповую политику
Опять же, OCSP, используемый запросом отзыва сертификатов по умолчанию, но автор до сих пор не настроен, может только принудительно вызвать CRL, изменив групповую политику. Статус отзыва сертификата, этого шага можно избежать! Пожалуйста, свяжитесь с автором к тому времени! Спасибо
Запустить групповую политику gpedit.msc
[Конфигурация компьютера] -> [Настройки безопасности] -> [Политика открытого ключа]
Открыть [Настройка проверки пути сертификата]
Выберите вкладку [Отзыв]
Установите флажок [Определить эти параметры политики], [Всегда предпочитать список отзыва сертификатов (CRL) вместо ответа протокола OCSP в режиме онлайн (не рекомендуется) (P)]приложение->Перезагрузите машину, На этом этапе настройка на стороне сервера завершена.
Импорт сертификата на сервер шлюза удаленных рабочих столов
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства сервера Шлюз удаленных рабочих столов.
Если сопоставление сертификата Шлюз удаленных рабочих столов выполняется в первый раз, после окончания сопоставления просмотрите область Состояние сервера шлюза удаленных рабочих столов в Диспетчер шлюза удаленных рабочих столов и убедитесь, что оно выполнено успешно. В противном случае в разделах Состояние конфигурации и Задачи настройки появится предупреждение о том, что сертификат сервера не установлен либо не выбран, а гиперссылка Просмотр и изменение свойств сертификата будет скрыта.
Импортировать корневой сертификат
cacert.pemпереименованныйcacert.crt, Скопируйте на сервер, нажмите Установить наЛокальный компьютерНа данный момент установлен корневой сертификат
Как подключить сертификат подписанный ad cs к rpd
Привет. При подключении по RDP как правило выскакивает сообщение о том, что сертификат, который используется для проверки подлинности сервера – не заслуживает доверия из-за того, что он самоподписанный. Наверняка вы задавались вопросом – как сделать так, чтобы за место самоподписанного сертификата был сертификат, выданный вашим центром сертификации, ну или не вашим… В общем что бы был полноценный сертификат. Сегодня хочу показать, как это можно сделать.
Тут можно пойти двумя путями:
- Если у вас есть AD CS и нет особых требований к именам, указываемым в сертификате. В этом случае можно сделать полностью автоматическую выдачу сертификатов и их подключение. Это простой способ.
- Если у вас в домене нет центра сертификации Active Directory, или если у вас есть особые требования к Subject Name или Subject Alternative Name. В этом случае придется получать и подключать сертификат вручную. Понадобится подобный сценарий вам может, если, например вы выдаете сертификат для компьютера, находящегося в отказоустойчивом кластере, и соответственно вам нужно будет указать в качестве SAN или SN как имя кластера так и имя хоста.
Начнем с более простого сценария.
У вас уже должен быть установлен и настроен AD CS. Идем на компьютер где он установлен и создаем шаблон для сертификата, который будет использоваться при подключении по RDP. Для этого заходим в консоль Certification Authority и щелкаем правой кнопкой мыши на Ceritificate Templates, выбираем Manage.
В открывшемся окне щелкаем правой кнопкой мыши по шаблону компьютера и выбираем Duplicate Template.
В Compatibility, выбираем уровень CA и получателей, в зависимости от ваших нужд, я поставлю уровень CA и Certificate Recipient на уровень 2008R2.
Во вкладке General задаёмR понятное имя сертификату, например RDPTmpl, так же если хотите можете изменить время жизни и обновления сертификата, а также разрешить публикацию в AD. Я эти опции оставил как есть.
Во вкладке Subject Name по желанию можно выбрать Subject name format, например Common Name, так же обязательно оставьте, что бы публиковалось DNS имя в alternate subject name.
Идем во вкладку Sucurity – тут разрешаем Enroll и Autoenroll для группы компьютеров, для которых должен будет получаться сертификат.
Далее переходим во вкладку Extensions, выбираем Application Policy и жмем Edit.
Здесь нужно удалить Client Authorization, а так же по желанию можно заменить Server Authorization на политику для проверки подлинности RDP. Для этого жмем Add, далее New, в Object identifier вводим 1.3.6.1.4.1.311.54.1.2 и даем понятное имя политике, например Remote Desktop Authentication.
Выбираем созданную политику и удаляем из шаблона Client и Server Authorization.
Жмем ОК и закрываем консоль с шаблонами. Возвращаемся в консоль Certification Authority и снова жмем правой кнопкой по Certificate Templates и выбираем New -> Certificate Template to issue.
Выбираем созданный нами шаблон и жмем ОК.
Теперь идем в редактор групповой политики, создаем или правим существующий объект групповой политики, который прилинкован к OU в которой находятся компьютеры, которым необходимо получить сертификат. Идем в Computer configuration -> Administrative Templates -> Windows components -> Remote Desktop Services -> Security. Тут нам нужен параметр Server authentication certificate template.
Включаем его и указываем имя нашего шаблона (RDPTmpl).
Что бы сертификаты продлялись автоматически, идем в Computer configuration -> Windows settings -> Security Settings -> Public Key Policies. Тут включаем параметр Certificate Services Client – Auto-Enrollment Properties.
Всё дожидаемся, пока обновится групповая политика или обновляем ее сами (gpupdate /force), сервер должен будет получить сертификат, и при подключении по RDP будет использоваться именно этот сертификат. Проверить это можно подключившись к серверу не по доменному имени, а по IP адресу, например.
Если что, хранится этот сертификат в сертификатах компьютера, в личных сертификатах.
Теперь расскажу про то, что делать во втором случае. В общем и целом, сперва нам так, как и с первым случаем необходимо создать шаблон для сертификата. Тут всё точно так же, как и с первым случаем, за исключением вкладки Subject Name. В этот раз нужно выбрать Supply in the request. Так же, думаю лучше поставить галку, что бы при продлении бралась информация из существующего сертификата.
Далее нам необходимо получить сертификат для компьютера. Заходим на нужный нам компьютер. Запускаем консоль mmc, и добавляем оснастку сертификаты. Выбираем для учетной записи компьютера.
Щелкаем правой кнопкой по Личное и выбираем – запросить новый сертификат. На приветственном окне жмем далее. В окне выбора политики регистрации сертификатов оставляем Политику регистрации Active Direcotory.
В следующем окне выбираем созданный ранее шаблон. Он будет отмечен желтым треугольником. Жмем по ссылке правее этого треугольника.
Во вкладке объект указываем полное имя DN в качестве Subject Name (например CN = CL01.test.loc) и разные dns имена в качестве Alternate Subject Name.
Жмем далее, точнее кнопку Заявка, и дожидаемся окончания процесса.
Теперь нам необходимо каким-то образом подключить полученный сертификат к RDP. Тут опять же есть несколько способов.
Первый способ, на мой взгляд менее удобный, но он должен работать на всех системах:
Смотрим отпечаток в свойствах только что полученного сертификата.
Для упрощения его копирования можно воспользоваться командой powershell:
ls Cert:LocalMachineMy
Копируем нужный отпечаток, далее выполняем команду:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”thumbprint”
Где thumbprint – ваш скопированный отпечаток.
Посмотреть отпечаток подключенного сертификата можно командой:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash
В случае, если у вас используется старая версия ОС, например Windows 2008R то можно воспользоваться более наглядным способом подключения. Это же касается и случаев, если у вас версия системы выше, чем 2021, и при этом установлены роли RDS.
Устанавливаем фичу Remote Desktop Services Tools. Если что она находится в Remote Server Administration Kit, Role Administration Tools.
Устанавливаем эти компоненты, после установки нужно будет перезагрузить сервер. После перезагрузки идем в Пуск – Администрирование – Службы удаленных рабочих столов – Конфигурация узла сеансов удаленных рабочих столов.
Заходим в свойства единственного подключения. Во вкладке общие можно выбрать необходимый нам сертификат. Выбираем ранее полученный сертификат.
Всё. Теперь при подключении по RDP будет использоваться правильный сертификат.
Конфигурирование автоматического выпуска сертификатов
Переходим в Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies и выбираем Certificate Services Client — Auto-Enrollment Включаем автоматический выпуск сертификатов а так же настройки по их автоматическому обновлению:
Криптопро | пакет «защищенный удаленный доступ». быстро, удобно, безопасно!
Уважаемые коллеги!
Предлагаем вашему вниманию пакет «Защищенный удаленный доступ», который позволит вам реализовать защищенный удаленный доступ к корпоративным информационным ресурсам в соответствии с требованиями законодательства РФ по ИБ и использовать его в течение первых трех месяцев без оплаты.
В состав пакета входят следующие компоненты, которые могут быть использованы как совместно, так и отдельно друг от друга:
- Сертифицированный ФСБ России шлюз удаленного доступа КриптоПро NGate в виртуальном исполнении, включающий в себя бесплатную трехмесячную лицензию на 50 одновременных подключений и реализующий удаленный доступ к произвольным ресурсам с применением российских криптографических алгоритмов. В качестве клиентского компонента может использоваться любой браузер, поддерживающий ГОСТ (для подключения к веб-ресурсам), либо нелицензируемый VPN-клиент КриптоПро NGate Client (для подключения к произвольным ресурсам, в том числе с мобильных устройств). По запросу возможно увеличение количества одновременных подключений и/или срока временной лицензии. Скачать ISO-образ дистрибутива КриптоПро NGate для установки в виртуальной среде и документацию на КриптоПро NGate можно здесь.
- Сертификат аутентификации сервера (необходим для функционирования шлюза КриптоПро NGate), предоставляемый бесплатно и удаленно на три месяца. По запросу сертификат может быть выдан на более длительный срок. Подробности получения сертификата шлюза можно прочитать здесь.
- Сертифицированный ФСБ России криптопровайдер КриптоПро CSP 4.0/5.0, включающий в себя бесплатную трехмесячную лицензию. Совместное использование данного криптопровайдера со службой Microsoft RDG (Remote Desktop Gateway), входящей в состав современных серверных ОС Windows, способно обеспечить защищенный доступ к удаленному рабочему столу ОС Windows по протоколу RDP с применением российских криптографических алгоритмов. В качестве клиентского компонента для подключения к удаленному рабочему столу используется входящая в состав ОС Windows команда MSTSC. Скачать дистрибутив и документацию на КриптоПро CSP 4.0/5.0 можно здесь.
Предлагаемые для удаленного доступа компоненты нетребовательны к системным и аппаратным ресурсам и могут быть оперативно развернуты специалистами организации по документации. В случае необходимости в дальнейшем возможно проведение бесшовной миграции шлюза КриптоПро NGate с виртуального исполнения на более производительное и отказоустойчивое аппаратное, с сохранением настроек и политик безопасности и за весьма демократическую стоимость. Подробнее о компонентах, входящих в состав пакета, можно прочитать в нашей статье тут. Там же можно посмотреть запись недавнего вебинара по организации защищенного удаленного доступа с учетом требований законодательства по ИБ на базе компонентов предлагаемого пакета.
Предоставляемый пакет будет особенно полезен следующим организациям, для которых удаленный доступ должен быть защищен в соответствии с требованиями законодательства по ИБ:
При организации удаленного доступа рекомендуем воспользоваться соответствующими рекомендациями отечественных регуляторов по мерам обеспечения информационной безопасности на время удаленной работы:
По вопросам развертывания, работы и дальнейшего приобретения компонентов пакета «Защищенный удаленный доступ» просьба обращаться по электронной почте: ngate@my-sertif.ru.
Назначение
- Строгая двухфакторная аутентификация пользователей при загрузке компьютера (служебного ноутбука или домашнего ПК);
- Установление безопасного удалённого VPN-соединения с корпоративной сетью предприятия, в том числе с использованием протокола RDP;
- Обеспечение юридической значимости электронных документов, формируемых с использованием офисного ПО;
- Безопасное хранение пользовательских данных и объектов (паролей, цифровых сертификатов, ключевых контейнеров популярных программных СКЗИ) в собственной защищённой энергонезависимой памяти;
- Работа с усиленной квалифицированной электронной подписью в режиме хранения контейнеров программных СКЗИ (КриптоПро CSP, VipNet CSP и др.).
Настройка безопасного rdp доступа к рабочей машине?
Добрый день товарищи! Хочу реализовать возможность безопасного подключения к рабочей машине. Суть такова — имеется машина на win7, хочу сделать проверку при подключении по rdp более надежную, нежели просто логин/пароль.
Покапав в интернете нашел много различный вариантов. Хотелось бы реализовать такой метод, чтобы на клиентских машинах, вне корпоративной сети, с которых я буду подключаться, нужно было минимум доп.сотфа.
В идеале использовать только стандартные средства ms windows, без установки vpn клиентов, драйверов, токенов, смарткарт или подобного. Разворачивать в сети win server, с центром сертификации, для подключения к 1 машине думаю лишне, да и лицензию покупать надо.
Что посоветуете?
P.s. было бы круто сделать просто самопальный сертификат, сбросить на его на флеху, а рабочую машину заставить проверять есть ли нужный сертификат у клиента.
P.P.S в мир электронных сертификатов, шифрования и подобной паранойи попал впервые, поэтому от огромного количества решений по госту, iso и других технологий просто голова идет кругом.
P.P.P.S эти розовые фантазии навеяны необходимость часто подключаться с разных пк в наших филиалах. Каждый раз ставить ПО, для того чтобы подключиться к своей машине больно накладно, а подключаться придется часто.
Настройте openssl.cnf
Откройте файл openssl.cnf, который мы скопировали ранее
[ CA_default ]
default_crl_days= 365Убедитесь, что следующие две строки существуют в req (первая строка там по умолчанию, вторая строка закомментирована)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_reqПримеры узлов v3_req:
О openca:
OpenCA – проект с открытым исходным кодом для создания частногоPKI, Автор очень скудный и еще не изучал его. Я надеюсь, что читатели, которые более ясны в этом, расскажут мне, как применить его к аутентификации сервера удаленного рабочего стола. ^ – ^
О ходе исследований автора ocsp
Сначала измените файл конфигурацииcacert.crtЭто сертификат CA, потому что мы используем сертификат BASE64, поэтому мы меняем суффикс напрямую*.pem->*.crtБез проблем.Эти вещи, связанные с сертификатом (SSL, X.509, PEM, DER, CRT, CER, KEY, CSR, P12 и т. Д.)
Общая схема
Сначала мы поставим обычный VNC сервер на порт 5900.
Затем поставим noVNC и WebSockify на порт 5901.
WebSockify — это своего рода прокси, который с одной стороны умеет разговаривать с VNC, который у нас на порту 5900, а с другой — умеет транслировать это браузеру через вебсокет, который у нас будет на порту 5901. noVNC — это просто html-приложение, или как сегодня это называют Single Page Application, которое и будет работать в клиентском браузере и «говорить» с WebSockify на сервере.
Вообще-то в природе существуют VNC серверы, которые умееют сразу соединяться через вебсокеты:
— MobileVNC, но он платный (10 Евро за устройство)— Есть библиотека LibVNCServer, которая поддерживает вебсокеты, и теоретически работает под Windows, но я не нашёл ни одного готового сервера под Windows с этой библиотекой.
В этом случае WebSockify уже не будет нужен.
Одно устройство – много возможностей
Одна из главных сложностей при удаленной работе – невозможность быстрого подписания бумажных документов. Весь документооборот (как внутренний, так и между компаниями-контрагентами) стремительно мигрирует в сторону электронного. А вместо классических подписей на бумаге используются электронные подписи.
Если у вас есть токен или смарт-карта Рутокен, то вы можете не только безопасно подключаться к рабочему месту и другим корпоративным ресурсам, но и использовать устройство для электронной подписи.
Токены и смарт-карты используются для надежного хранения ключей и сертификатов, а также вычисления усиленной и квалифицированной электронной подписи с использованием российских и международных алгоритмов.
Доступ к хранилищу токена блокируется PIN-кодом, ключи электронной подписи невозможно извлечь из памяти токена, а значит злоумышленник не сможет сделать его копию и подписывать им свои документы без ведома владельца.
Большинство систем документооборота и офисных приложений позволяют использовать Рутокен для подписания электронных документов напрямую, или с помощью криптопровайдера (к примеру, КриптоПро CSP).
При этом сотрудник не привязан к конкретному ПК – поскольку всё необходимое для подписания электронных документов находится на токене, то работать можно на любом компьютере, к которому подключен токен.
Таким образом, одно устройство Рутокен позволит сотруднику удаленно выполнять свои служебные обязанности: подключаться к серверам и ресурсам в сети предприятия и подписывать электронные документы.
Отозвать сертификат
Ну, у нас нет сертификатов, которые нужно отозвать, пока игнорируем
Предисловие
Автор ознакомился с большим количеством информации, прежде чем писать эту статью. Если есть ошибки, пожалуйста, попросите читателей представить их вовремя.
Как правило, при использовании удаленного рабочего стола для подключения к Windows Server всегда появляется предупреждение, как показано на рисунке 1.
Рисунок 1
Причина этого предупреждения заключается в том, что сертификат является самозаверяющим сертификатом сервера, и наш клиент не может его распознать, поэтому автор думает о том, как безопасно использовать удаленный рабочий стол (RDP) с использованием сертификата.
Преимущества
- Обеспечивается надёжная строгая двухфакторная аутентификация удалённых пользователей в корпоративной сети, в том числе на удалённом рабочем столе, с безопасным хранением ключевых пар и сертификатов на USB-токене или смарт-карте JaCarta PKI:
- Закрытый ключ, используемый для аутентификации и выработки ключей шифрования, безопасно генерируется внутри устройства и никогда его не покидает, т.е. является неизвлекаемым, его невозможно склонировать
- Обеспечивается надёжная защита от несанкционированного удалённого подключения злоумышленников в корпоративную сеть по VPN:
- Даже если USB-токен или смарт-карта JaCarta PKI будут украдены, злоумышленник, не зная PIN-кода для JaCarta PKI, не сможет получить удалённый доступ к сети предприятия;
- Устройства обладают защитой от подбора PIN-кода и будут автоматически заблокированы после нескольких попыток последовательного ввода неправильного PIN-кода;
- При утрате устройства пользователь может быстро уведомить администратора, и тот, в свою очередь, заблокирует возможность подключения к корпоративной сети с использованием этого USB-токена или смарт-карты (сертификата на устройстве);
- Обеспечивается надёжная защита от кражи конфиденциальных данных в канале связи от дома до офиса, так как ключи шифрования формируются с использованием неизвлекаемого ключа, хранимого в токене;
- Обеспечивается возможность удалённой работы с УКЭП (усиленной квалифицированной электронной подписью) в системах дистанционного банковского обслуживания, на порталах гос. услуг, в системах электронного документооборота при работе совместно с программными СКЗИ КриптоПро CSP, VipNet CSP и др.
Проверка работоспособности
После применения групповой политики Windows клиенты должны в автоматическом порядке получить сертификат. Если этого не произошло, стоит обратить внимание на:
- Отсутствие в правильной группе безопасности, которая указана в шаблоне;
- Отсутствие к ЦС необходимых сетевых портов от клиента. Напомню, это tcp/135 (RPC) и динамические порты tcp/49152—65535.
Проверить что сертификат был успешно выпущен можно в консоли ADCS:
При следующем RDP подключении, стоит обратить внимание на наличие «замка» в верхнем меню RDP подключения. Нажав на этот «замок» можно удостоверится что используется нужный сертификат.
Раскладка клавиатуры
Я обнаружил, что русская раскладка клавиатуры работает довольно необычным образом:
Если у клиента выбран русский язык, то на удалённый компьютер нажатия клавиш не передаются вообще.
Поэтому, чтобы печатать по русски на удалённом компьютере:
— на клиенте должна быть выбрана английская раскладка— на удалённой системе должна быть выбрана русская раскладка
Распространение
Некоторые читатели спросят, что при использовании самозаверяющего сертификата для подключения к удаленному рабочему столу клиенту не нужно устанавливать CA.Для этой проблемы этот метод обычно используется для разработки, тестирования и обучения. Если вы не хотите настраивать сервер сертификатов WindowsServer или OpenCA, вы можете напрямую использовать сертификат поставщика онлайн-услуг.
Решение:
- Используйте «Службу сертификации AD», поставляемую с WIndowsServer, для генерации всегоPKIТо есть, с полной системой сертификации, естественно, все соответствующие вопросы сертификации решены. Недостаток в том, что операция очень сложная, преимущество безопасное, коммерческого уровня!
- Использование OpenSSL для самостоятельного создания сертификата сэкономит много шагов по сравнению с первым методом. Он прост в использовании и подходит для разработки и тестирования. Недостатком является то, что уровень безопасности не может достигать высоты для коммерческого использования. сертификат)
Рутокен vpn
Программный продукт Рутокен VPN помимо защиты передаваемых данных позволяет организовать двухфакторную аутентификацию удаленных сотрудников с помощью уже упоминавшихся токенов и смарт-карт линейки Рутокен ЭЦП. Подключение к VPN возможно только при подключении токена к ПК и вводе его PIN-кода. При отключении токена связь автоматически разрывается.
Таким образом, сотрудник всегда будет знать, подключен ли он к сети предприятия или нет, и не выполнит по ошибке на своем компьютере действия, которые поставят безопасность сети под угрозу (например, не станет запускать программу, полученную из непроверенных источников и, возможно, содержащую вирус).
Ключевыми особенностями Рутокен VPN является простота настройки и низкая нагрузка на системных администраторов как при внедрении, так и в работе.
До 1 мая 2020 года можно приобрести комплект для организации VPN, состоящий из 5 токенов Рутокен ЭЦП PKI, по специальной цене и получить сервер бесплатно.
Сложность:
- Клиент должен проверить статус отзыва сертификата при подключении к удаленному рабочему столу сервера. Есть два способа проверить статус отзыва сертификата:CRL и OSCP
1.1 OCSP
По умолчанию параметр проверки пути сертификата использует OCSP, но поскольку мы являемся самозаверяющим сертификатом, Windows всегда будет запрашивать «Invalid Signer EKU» / «Invalid Signer EKU» при проверке, поэтому Мы не можем использовать этот метод для проверки статуса отзыва сертификата.
1.2 CRL
Когда OCSP не может удовлетворить наши потребности, мы можем использовать только CRL для проверки статуса отзыва сертификата, поэтому нам также нужно использовать сайт для предоставления CRL - Гибкое использование в OpenSSL
x509v3_config, В настоящее время во многих статьях не говорится о том, как добавить в сертификатТочка распространения CRL、Авторизованный доступ к информацииПричиной получения информации о расширении является то, что применение расширения сертификата X509z не понято. Конечно, в нем упоминается много статей, но оно не указано четко, что может смутить читателей.Читатели, использующие OpenSSL, настоятельно рекомендуютсяx509v3_config – X509 V3 certificate extension configuration format
Binggui быстро, бой в реальном времени!
Создание групповой политики для rdp подключений
Непосредственно сама конфигурация Windows машин будет централизовано выполнятся с помощью групповой политики. Я рекомендую создать отдельный экземпляр политики, в котором будет следующее:
- Задание имени шаблона сертификата для использования в RDP подключениях;
- Задание типа шифрования RDP подключений;
- Конфигурирование автоматического выпуска сертификатов.
Создание шаблона сертификата rdp в adcs
Первый шаг состоит в создании шаблона сертификата, с помощью которого Windows клиенты будут автоматически генерировать сертификаты используемые в RDP подключениях. Для этого в оснастке ADCS переходим к управлению шаблонами сертификатов:
Дублируем сертификат Computer
Задаем имя будущего шаблона:
Указываем настройки совместимости:
В Extensions, необходимо задать правильные Application Policies для поддержки TLS в RDP протоколе
Для этого удаляем Client Authentication и Server Authentication и добавляем Remote Desktop Authentication с OID 1.3.6.1.4.1.311.54.1.2, как показано на скриншоте:
Далее, необходимо задать группу безопасности, члены которой должны автоматически сгенерировать сертификат по этому шаблону. Для этого добавляем нужную группу безопасности в DACL и назначаем соответствующие права:
Завершающим шагом будет его выпуск на выдающем корпоративном ЦС:
Создать сертификат сервера
- Установить закрытый ключ
Ставим vnc
Сам VNC протокол стандартизован, поэтому теоретически можно использовать любой VNC сервер.
Сначала я попробовал поставить TightVNC, но у noVNC были с ним какие-то проблемы с аутентификацией. Думаю, что можно было разобраться, но я поставил UltraVNC (осторожно, у них там тонны рекламы, реальные ссылки — внизу страницы) и всё заработало.
Скорее всего будут работать большинство VNC серверов, которые поддерживают Windows.
VNC сервер я поставил на порт 5900. Не забудьте установить пароль на VNC соединение. UltraVNC не даст подсоединиться до тех пор, пока вы не установите пароль.
Проверьте, что VNC сервер работает, подключившись к нему с помощью VNC клиента с другого компьютера или смартфона.
Топ-3 ошибок «какие ошибки могут допускать работодатели и сотрудники (и как их избежать)»
- Потеря самоорганизации каждого конкретного сотрудника компании. Важно понимать, что «мы – команда, и мы идем к общим результатам вместе», несмотря на то, что каждый у себя дома.
- Избыточная эмоциональность в решении тех или иных рабочих вопросов. Длительное пребывание в режиме самоизоляции на сотрудников с разными психотипами влияет по-разному. Домашняя обстановка может размывать психологические барьеры и пробуждать застарелые рабочие и личностные конфликты в коллективе.
- Нарушение «живого» рабочего контакта. Важно проводить регулярные аудио- и видео-конференции для сохранения человеческих коммуникаций. Также многие вопросы эффективнее решать именно в таких форматах, а не в «многокилометровых переписках».
Топ-3 рекомендаций «как сохранить рабочий настрой»
- Четкое планирование рабочего дня. Кому-то комфортно быть максимально приближенным к обычному расписанию работы, так как за время «жизни» в офисе внутренние часы адаптировались к этому ритму, и «ломать» и «перестраивать» этот механизм в текущей ситуации явно не стоит. Кому-то комфортно изменить график, чтобы оптимально совмещать работу, домашние и личные дела. В любом случае лучше придерживаться четкого разделения времени работы и прочих дел.
- Организация дома (на даче) четко выделенной рабочей зоны (стол, кресло и т.д.). Некоторым моим друзьям помогает переодевание в одежду, в которой они обычно находятся на работе. И даже рабочие туфли (тапочки) помогают некоторым эмоционально настроиться на рабочий лад.
- Договориться с семьей (с тем, с кем проходит самоизоляция). Очень важно, чтобы все проживающие вместе понимали, что в такой-то диапазон времени человек находится на работе, хоть эта работа и расположена вынуждено на кухне, в столовой или спальне. При удаленной работе привычная домашняя обстановка перестает быть привычным местом отдыха – становится рабочим пространством. Поэтому важно выделить не только рабочую зону, но и определить время выхода из «рабочей обстановки».
Установить сертификат удаленного рабочего стола
Используйте командыcertmgr.msc Откройте диспетчер сертификатов и развернителичный->сертификат, Дважды щелкните сертификат, который мы только что импортировали, выберитеДля получения более подробной информацииИ найтиотпечаток пальца, Скопируйте его содержимое в блокнот (или командную строку), удалитепустойЗапасной.PS: первая строка шестнадцатеричных пробелов скрыта.
Используйте команду
wmic / namespace: \ root cimv2 TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash = "Отпечаток пальца только что обработан"Появляется слово «успешное обновление», в случае неудачи внимательно проверьте детали.
Шаг второй. и снова вопросы доверия
Для избавления от этого сообщения нам снова понадобится групповая политика. На этот раз дорога лежит в раздел Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP.
Нужная нам политика.
В политике достаточно добавить уже знакомый нам отпечаток с предыдущего шага.
Стоит отметить, что эта политика перекрывает политику «Разрешать RDP-файлы от допустимых издателей и пользовательские параметры RDP, заданные по умолчанию».
Настроенная политика.
Шаг нулевой. подготовка и вопросы доверия
Итак, наш пользователь тыкает на сохраненный файл с расширением .rdp и получает такой вот запрос:
«Зловредное» подключение.
Для избавления от этого окна используется специальная утилита под названием RDPSign.exe. Полная документация доступна, как обычно, на официальном сайте, а мы разберем пример использования.
Для начала нам нужно взять сертификат для подписывания файла. Он может быть:
Самое главное, чтобы сертификат имел возможность подписывать (да, можно отобратьу бухгалтеров ЭЦП), а клиентские ПК ему доверяли. Здесь я буду использовать самоподписанный сертификат.
Напомню, что доверие самоподписанному сертификату можно организовать при помощи групповых политик. Чуть больше подробностей — под спойлером.
Если проблемы с доверием решены, переходим непосредственно к вопросу подписи.
Шаг первый. размашисто подписываем файл
Сертификат есть, теперь нужно узнать его отпечаток. Просто откроем его в оснастке «Сертификаты» и скопируем на вкладке «Состав».
Нужный нам отпечаток.
Лучше сразу его привести к должному виду — только большие буквы и без пробелов, если они есть. Это удобно сделать в консоли PowerShell командой:
("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")
Получив отпечаток в нужном формате, можно смело подписывать файл rdp:
rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp
Где .contoso.rdp — абсолютный или относительный путь к нашему файлу.
После того как файл подписан, уже не получится изменить часть параметров через графический интерфейс вроде имени сервера (действительно, иначе смысл подписывать?) А если поменять настройки текстовым редактором, то подпись «слетает».
Теперь при двойном клике по ярлыку сообщение будет другим:
Новое сообщение. Цвет менее опасный, уже прогресс.
Избавимся же и от него.
^. ^ пора положить конец этой грубой мелочи
Открыть удаленный рабочий столmstsc, Проверьте результаты, как показано на рисунке 2
Рисунок 2
Создать список отзыва
openssl ca -gencrl -out rootca.crl -cert ./demoCA/cacert.pem -keyfile ./demoCA/private/cakey.pem --config openssl.cnf