Logo faq-o-matic.net
Logo faq-o-matic.net

Das RDP-Zertifikat tauschen

von veröffentlicht am18. Januar 2018, 06:39 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Sicherheit, Terminal Server   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Wer sich auf einen anderen Rechner per Remote Desktop verbindet bekommt ohne Konfiguration eine Meldung.

clip_image001

Jeder Windows Client erstellt ein selbst signiertes Zertifikat für die RDP-Verbindung. Über dieses Zertifikat wird die gesicherte Verbindung hergestellt. Es ist etwas unschön, da hier erstes eine Warnung kommt – wie kann ich sicher sein, ob es das richtige ist? Ich möchte hier den Weg zeigen wie es mit einer Windows-CA im Zusammenspiel mit einer GPO zu lösen ist.

Ich habe auch eine andere Variante gefunden, die regelt es per Powershell: https://gallery.technet.microsoft.com/scriptcenter/Remotely-install-RDP-8b9a82d3

Anforderungen

Wir benötigen

  • Eine funktioniere Windows-CA sowie eine GPO, um das Zertifikat zu verteilen.
  • Einen Testclient, auf den die GPO angewendet werden kann.
  • In der CA werden wir eine Vorlage anpassen und diese per GPO an die Clients ausrollen.

Der Aufwand sollte mit einer Stunde in Grenzen halten.  Ich werde nicht die Schritte darstellen, wie eine Windows-CA eingerichtet wird.

Ziel

Jeder Computer der Domäne hat sein eigenes gültiges Zertifikat mit seinem FQDN, ausgestellt von der CA. Somit kommt keine Warnung mehr über die Identität des Rechners. Im Support sollten die Anfragen zu dem Thema zurückgehen.

Getestet wurde das in einer Windows-2012-R2-Umgebung mit Windows 7 Pro und Windows 10 Enterprise.

Teil 1 Windows-CA, Template erstellen und anpassen

Wir sollten uns auf dem Server befinden, auf dem die CA installiert ist. Dort öffnen wir eine MMC-Konsole und rufen das Addin Certification Authority (Zertifizierungsstelle) auf.

clip_image003

Gehen dort auf Manage, wir wollen eine Vorlage anpassen. Rechte Maustaste auf den untersten Ordner.

Wir werden nun eine Vorlage kopieren und keine bestehende anpassen. Wir möchten das Template Computer duplizieren.

clip_image005

Hier stellen wir ein, welches Level die CA hat und ab welcher Clientversion die Vorlage zum Tragen kommt. Das kann angepasst werden je nach Bedarf.

clip_image006

In diesem Dialog gehen wir auf General und geben dem Template den Namen, den wir später in der GPO verwenden möchten. Hier ist es auch möglich, Einfluss auf die Laufzeit des Zertifikats zu nehmen. Dies kann je nach Bedarf angepasst werden. Das Zertifikat wird sich vor Ablauf der Frist selbst erneuern, solange der Rechner Mitglied der Domäne ist und Zugriff auf die CA hat.

clip_image007

Wir sind weiter im neuen Dialog unterwegs. Wir klicken nun den Reiter Extensions an. Dort gibt es eine Extension die sich Application Policies nennt. Diese wählen wir aus und klicken auf Edit. Es öffnet sich ein weiteres Dialog Fenster

clip_image008

Dort entfernen wir die „Client Authentication“ und klicken auf „Add“, es öffnet sich ein weiteres Dialogfenster.

clip_image009

Wir erstellen unsere eigene Application Policy, dort klicken wir auf „New“, es öffnet sich ein weiteres Dialogfenster. Es ist etwas verwirrend, wie viele Fenster aufgehen.

clip_image010

Hier vergeben wir einen Namen für die Application Policy. Ich habe das ganze mal Remote Desktop Auth genannt. Wichtig ist, dass es klar ist, für was es verwendet wird. Dazu müssen wir den Object identifier noch anpassen. Hier den hinteren Teil weg löschenoder stehen lassen. Diesen darf es nur einmal geben.

clip_image011

Nachdem OK gedrückt wurde, ist der Eintrag in der Liste zu finden. Auswählen und hinzufügen.

Das ganze sollte dann so aussehen. Hier mit OK bestätigen. Danach sind wir wieder im Fenster „Properties of New Template“

clip_image012

Im Reiter Security gilt es jetzt noch eine Einstellung vorzunehmen, für wen das Template denn zutrifft. Bei Domain Computers muss Read und Enroll angehakt sein. Somit ist sichergestellt, dass jeder Rechner sich das Zertifikat bei der CA holen kann. Es spricht hier auch nichts dagegen, die Policy für Domain Controller anzupassen.

clip_image013

Das Erstellen des Templates wird beendet mit dem Klick auf OK. Es ist nun unter den Zertifikatsvorlagen zu finden.

Jetzt wollen wir das Zertifikat nutzen, dazu müssen wir es in der CA noch aktiv schalten. Dazu klicken wir auf New => Certificate Template to Issue.

clip_image015

Hier wählen wir nun das Template aus und bestätigen mit OK. Damit sind alle unsere Arbeiten in der CA abgeschlossen. Nun geht es weiter eine GPO zu erstellen.

clip_image016

Teil 2: GPO erstellen und anpassen

GPO erstellen. Für den ersten Versuch sollte es eine GPO sein, die auf einen Test Client zeigt. Wir benötigen die Computer-Konfiguration.

Computer Configuration => Windows Components => Remote Desktop Services

clip_image018

Im Zweig darunter (Security) folgende Einstellungen vornehmen:

clip_image020

Dort passen wir drei Einstellungen an.

Server authentication certificate template

clip_image022

Hier wichtig: der Name sollte genauso so lauten wie das Template in der CA.

Require use of specific securtiy layer for remote (RDP) connection

clip_image024

Hier stellen wir auf SSL

Require user authentication for remote connections by using….

clip_image026

Diese Richtlinie ist dazu da, NLA (Network Level Authentication) zu aktivieren.

Die letzte Einstellung die wir noch anpassen müssen findet sich unter:

Computer Configuration => Windows Components=> Remote Desktop Services=> Remote Desktop Connection Client

Configure server authentication for client
Stellen wir auf “Warn me if authentication fails”

clip_image028

Damit haben wir den Konfigurationsteil abgeschlossen. Jetzt muss die GPO noch auf den Client ausgerollt werden.
CMD => gpupdate

Die Frage ist nun, wie kontrolliere ich ob es geklappt hat? In der Windows CA wird genau protokolliert wer und wann sich ein Zertifikat ausstellen hat lassen.

clip_image030

Das Zertifikat sollte nun von der CA auf dem Client gelandet sein. Schauen wir auf dem Client nach per MMC-Konsole. Das Zertifikat landet im Computerkonto

clip_image032

clip_image034

Dort sollte es nun so aussehen: wir sehen bei Zertifikatsvorlage, von welcher Vorlage das Zertifikat generiert wurde.

Jetzt noch per RDP auf den Rechner, es sollte keine Meldung mehr kommen.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!