বিশ্বস্ত SSL/TLS শংসাপত্রের সাথে RDP সংযোগ সুরক্ষিত করা

এই প্রবন্ধে আমরা দেখাব কিভাবে বিশ্বস্ত SSL/TLS সার্টিফিকেট ব্যবহার করতে হয় একটি সক্রিয় ডিরেক্টরি ডোমেনে Windows কম্পিউটার বা সার্ভারে RDP সংযোগ সুরক্ষিত করতে। আমরা ডিফল্ট স্ব-স্বাক্ষরিত RDP শংসাপত্রের পরিবর্তে বিশ্বস্ত SSL শংসাপত্র ব্যবহার করব (তারপর একটি স্ব-স্বাক্ষরিত RDP শংসাপত্র ব্যবহার করে, ব্যবহারকারী একটি সতর্কতা পায় যে হোস্টের সাথে সংযোগ করার সময় শংসাপত্রটি বিশ্বস্ত নয়)। এই উদাহরণে, আমরা সার্টিফিকেট অথরিটিতে একটি কাস্টম RDP শংসাপত্রের টেমপ্লেট কনফিগার করব এবং একটি গ্রুপ নীতি স্বয়ংক্রিয়ভাবে ইস্যু করতে এবং দূরবর্তী ডেস্কটপ পরিষেবাগুলিতে একটি SSL/TLS শংসাপত্র আবদ্ধ করতে হবে৷

রিমোট ডেস্কটপ সংযোগ (RDP) স্ব-স্বাক্ষরিত শংসাপত্র সতর্কীকরণ

ডিফল্টরূপে, একটি RDP সেশন সুরক্ষিত করতে Windows একটি স্ব-স্বাক্ষরিত শংসাপত্র তৈরি করে। mstsc.exe ক্লায়েন্ট ব্যবহার করে একটি RDP/RDS হোস্টের সাথে প্রথম সংযোগের সময়, একজন ব্যবহারকারী নিম্নলিখিত সতর্কতা দেখতে পান:

The remote computer could not be authenticated due to problems with its security certificate. It may be unsafe to proceed.
Certificate error: The certificate is not from a trusted certifying authority.

এগিয়ে যেতে এবং একটি RDP সংযোগ স্থাপন করতে, একজন ব্যবহারকারীকে হ্যাঁ ক্লিক করতে হবে৷ . আরডিপি শংসাপত্রের সতর্কতা প্রতিবার উপস্থিত হওয়া রোধ করতে, আপনি "এই কম্পিউটারে সংযোগের জন্য আমাকে আবার জিজ্ঞাসা করবেন না" বিকল্পটি চেক করতে পারেন৷

এই ক্ষেত্রে RDP শংসাপত্র থাম্বপ্রিন্ট CertHash-এ সংরক্ষিত হয় একটি ক্লায়েন্টে RDP সংযোগ ইতিহাস সহ রেজিস্ট্রি কী-এর প্যারামিটার (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\ ) আপনি যদি সতর্কতা লুকিয়ে থাকেন যে RDP সার্ভার যাচাই করা যায়নি, সেটিংস রিসেট করতে রেজিস্ট্রি থেকে শংসাপত্রের থাম্বপ্রিন্টটি সরিয়ে ফেলুন।

একটি শংসাপত্র কর্তৃপক্ষ (CA) এ একটি RDP শংসাপত্র টেমপ্লেট তৈরি করুন

আসুন আরডিপি সংযোগগুলি সুরক্ষিত করতে কর্পোরেট শংসাপত্র কর্তৃপক্ষ দ্বারা জারি করা একটি বিশ্বস্ত SSL/TLS শংসাপত্র ব্যবহার করার চেষ্টা করি৷ এই শংসাপত্রটি ব্যবহার করে, একজন ব্যবহারকারী সংযোগ করার সময় একটি RDP সার্ভারকে প্রমাণীকরণ করতে পারে। ধরুন, একটি কর্পোরেট মাইক্রোসফ্ট সার্টিফিকেট অথরিটি আপনার ডোমেনে ইতিমধ্যেই স্থাপন করা হয়েছে৷ এই ক্ষেত্রে, আপনি ডোমেনের সমস্ত Windows কম্পিউটার এবং সার্ভারে স্বয়ংক্রিয় সমস্যা এবং সার্টিফিকেটের সংযোগ কনফিগার করতে পারেন৷

আপনার CA-তে RDP/RDS হোস্টের জন্য আপনাকে অবশ্যই একটি নতুন ধরনের সার্টিফিকেট টেমপ্লেট তৈরি করতে হবে:

1. সার্টিফিকেট অথরিটি কনসোল চালান এবং সার্টিফিকেট টেমপ্লেট বিভাগে যান;
2. কম্পিউটার সার্টিফিকেট টেমপ্লেটের নকল করুন (শংসাপত্র টেমপ্লেট -> পরিচালনা -> কম্পিউটার -> নকল);
   
3. সাধারণ-এ ট্যাব, নতুন শংসাপত্র টেমপ্লেটের নাম উল্লেখ করুন – RDPT টেমপ্লেট . নিশ্চিত করুন যে মানটি টেমপ্লেট নামের ক্ষেত্রটি টেমপ্লেট প্রদর্শন নাম; এর সাথে মেলে
   
4. সামঞ্জস্যতা-এ ট্যাব, আপনার ডোমেনে ব্যবহৃত ন্যূনতম ক্লায়েন্ট সংস্করণ নির্দিষ্ট করুন (উদাহরণস্বরূপ, CA-এর জন্য Windows Server 2008 R2 এবং আপনার ক্লায়েন্টদের জন্য Windows 7)। এইভাবে, শক্তিশালী এনক্রিপশন অ্যালগরিদম ব্যবহার করা হবে;
5. তারপর, এক্সটেনশনের অ্যাপ্লিকেশন নীতি বিভাগে ট্যাব, শংসাপত্রের ব্যবহারের সুযোগ রিমোট ডেস্কটপ প্রমাণীকরণ-এ সীমাবদ্ধ করুন শুধুমাত্র (নিম্নলিখিত বস্তু শনাক্তকারী লিখুন — 1.3.6.1.4.1.311.54.1.2 ) যোগ করুন -> নতুন ক্লিক করুন, একটি নতুন নীতি তৈরি করুন এবং এটি নির্বাচন করুন;
   
6. শংসাপত্র টেমপ্লেট সেটিংসে (অ্যাপ্লিকেশন নীতির এক্সটেনশন), রিমোট ডেস্কটপ প্রমাণীকরণ ব্যতীত সমস্ত নীতি সরান;
7. আপনার ডোমেন কন্ট্রোলারে এই RDP শংসাপত্র টেমপ্লেটটি ব্যবহার করতে, নিরাপত্তা খুলুন ট্যাবে, ডোমেন কন্ট্রোলার যোগ করুন গ্রুপ করুন এবং নথিভুক্ত করুন সক্ষম করুন এবং অটোএনরোল এর জন্য বিকল্প;
   
8. শংসাপত্র টেমপ্লেট সংরক্ষণ করুন;
9. তারপর সার্টিফিকেট অথরিটি mmc স্ন্যাপ-ইন-এ, সার্টিফিকেট টেমপ্লেট ফোল্ডারে ক্লিক করুন এবং নতুন -> নির্বাচন করুন ইস্যু করার জন্য সার্টিফিকেট টেমপ্লেট -> আপনার তৈরি করা টেমপ্লেটটি বেছে নিন (RDPT টেমপ্লেট );
   

গ্রুপ নীতি ব্যবহার করে কিভাবে RDP SSL/TLS সার্টিফিকেট স্থাপন করবেন?

কনফিগার করা টেমপ্লেট অনুযায়ী কম্পিউটার/সার্ভারে স্বয়ংক্রিয়ভাবে RDP সার্টিফিকেট বরাদ্দ করতে এখন আপনাকে একটি ডোমেন GPO কনফিগার করতে হবে।

1. ডোমেন গ্রুপ পলিসি ম্যানেজমেন্ট কনসোল (gpmc.msc) খুলুন, একটি নতুন GPO অবজেক্ট তৈরি করুন এবং RDP কানেকশন সুরক্ষিত করতে স্বয়ংক্রিয়ভাবে TLS সার্টিফিকেট ইস্যু করতে RDP/RDS সার্ভার বা কম্পিউটার সমন্বিত OU এর সাথে লিঙ্ক করুন;
2. নিম্নলিখিত GPO বিভাগে যান কম্পিউটার কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> উইন্ডোজ উপাদান -> দূরবর্তী ডেস্কটপ পরিষেবা -> দূরবর্তী ডেস্কটপ সেশন হোস্ট -> নিরাপত্তা। সার্ভার প্রমাণীকরণ শংসাপত্র টেমপ্লেট সক্ষম করুন৷ নীতি আপনি আগে যে CA টেমপ্লেটটি তৈরি করেছেন তার নাম উল্লেখ করুন (RDPTemplate );
   
3. তারপর একই GPO বিভাগে, রিমোট (RDP) সংযোগের জন্য নির্দিষ্ট নিরাপত্তা স্তরের ব্যবহার প্রয়োজন সক্ষম করুন নীতি এবং SSL মান সেট করুন এর জন্য;
4. একটি RDP শংসাপত্র স্বয়ংক্রিয়ভাবে পুনর্নবীকরণ করতে, কম্পিউটার কনফিগারেশন -> উইন্ডোজ সেটিংস -> নিরাপত্তা সেটিংস -> GPO-এর সর্বজনীন কী নীতি বিভাগে যান এবং শংসাপত্র পরিষেবা ক্লায়েন্ট – স্বয়ংক্রিয়-নথিভুক্তির বৈশিষ্ট্যগুলি সক্ষম করুন৷ নীতি “মেয়াদ শেষ হওয়া শংসাপত্রগুলি পুনর্নবীকরণ করুন, মুলতুবি থাকা শংসাপত্রগুলি আপডেট করুন এবং প্রত্যাহার করা শংসাপত্রগুলি সরান চেক করুন ” এবং “শংসাপত্রগুলি আপডেট করুন যেগুলি শংসাপত্র টেমপ্লেটগুলি ব্যবহার করে৷ "বিকল্প;
5. যদি আপনি চান যে আপনার ক্লায়েন্টরা সর্বদা RDP সার্ভার সার্টিফিকেট যাচাই করুক, তাহলে আপনাকে অবশ্যই ক্লায়েন্টের জন্য প্রমাণীকরণ কনফিগার করুন =প্রমাণীকরণ ব্যর্থ হলে আমাকে সতর্ক করুন নীতি (কম্পিউটার কনফিগারেশন -> নীতি -> প্রশাসনিক টেমপ্লেট -> উইন্ডোজ উপাদান -> রিমোট ডেস্কটপ সেটিংস -> রিমোট ডেস্কটপ সংযোগ ক্লায়েন্ট);
6. যদি প্রয়োজন হয়, ফায়ারওয়াল নীতি ব্যবহার করে ইনকামিং RDP পোর্ট TCP/UDP 3389 খুলুন;
7. তারপর ক্লায়েন্ট কম্পিউটারে গ্রুপ নীতি সেটিংস আপডেট করুন, কম্পিউটার সার্টিফিকেট কনসোল চালু করুন (Certlm.msc ) এবং নিশ্চিত করুন যে আপনার CA দ্বারা জারি করা রিমোট ডেস্কটপ প্রমাণীকরণ শংসাপত্রটি ব্যক্তিগত -> শংসাপত্র বিভাগে উপস্থিত হয়েছে৷

নতুন RDP শংসাপত্র প্রয়োগ করতে, রিমোট ডেস্কটপ পরিষেবাগুলি পুনরায় চালু করুন:

Get-Service TermService -ComputerName mun-dc01| Restart-Service –force –verbose

এর পরে, RDP ব্যবহার করে সার্ভারের সাথে সংযোগ করার সময়, আপনি শংসাপত্রটি বিশ্বস্ত কিনা তা নিশ্চিত করার জন্য একটি অনুরোধ দেখতে পাবেন না (অনুরোধ দেখতে, সার্ভারের সাথে সংযোগ করুন সার্ভারটি FQDN এর পরিবর্তে তার IP ঠিকানা ব্যবহার করার জন্য জারি করা হয়েছে)। দেখুন ক্লিক করুন৷ শংসাপত্র, বিশদ বিবরণ-এ যান৷ ট্যাব করুন এবং থাম্বপ্রিন্টে মানটি অনুলিপি করুন ক্ষেত্র।

ইস্যু করা সার্টিফিকেট-এ সার্টিফিকেশন অথরিটি কনসোলের বিভাগে, আপনি নিশ্চিত করতে পারেন যে নির্দিষ্ট Windows সার্ভার/কম্পিউটারের জন্য একটি RDPT টেমপ্লেট শংসাপত্র জারি করা হয়েছে। এছাড়াও শংসাপত্র থাম্বপ্রিন্ট চেক করুন মান:

তারপর রিমোট ডেস্কটপ পরিষেবা দ্বারা ব্যবহৃত শংসাপত্র থাম্বপ্রিন্টের সাথে এই থাম্বপ্রিন্টের তুলনা করুন। আপনি রেজিস্ট্রিতে RDS শংসাপত্রের থাম্বপ্রিন্টের মান দেখতে পারেন (HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations , টেমপ্লেট সার্টিফিকেট প্যারামিটার) বা নিম্নলিখিত PowerShell কমান্ড ব্যবহার করে:

Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash

তারপর, যেকোনো Windows হোস্টের দূরবর্তী ডেস্কটপে সংযোগ করার সময়, আপনি একটি অবিশ্বস্ত RDP শংসাপত্রের সতর্কতা দেখতে পাবেন না৷

একটি বিশ্বস্ত TLS শংসাপত্র থাম্বপ্রিন্ট সহ একটি RDP ফাইলে স্বাক্ষর করা

আপনার যদি CA না থাকে, কিন্তু আপনি চান না যে আপনার ব্যবহারকারীরা যখন কোনো RDP/RDS হোস্টের সাথে সংযুক্ত হন তখন তারা সতর্কতা দেখতে পান, আপনি ব্যবহারকারী কম্পিউটারে বিশ্বস্তদের সাথে শংসাপত্রটি যোগ করতে পারেন।

উপরে বর্ণিত RDP শংসাপত্র থাম্বপ্রিন্টের মান পান:

Get-WmiObject -Class "Win32_TSGeneralSetting" -Namespace root\cimv2\terminalservices|select SSLCertificateSHA1Hash

RDPSign.exe দিয়ে .RDP ফাইলে স্বাক্ষর করতে এই আঙুলের ছাপ ব্যবহার করুন টুল:

rdpsign.exe /sha256 25A27B2947022CC11BAFF261234567DEB2ABC21 "C:\ps\mun-dc01.rdp"

তারপর GPO ব্যবহার করে ব্যবহারকারী কম্পিউটারে বিশ্বস্ত শংসাপত্রগুলিতে এই থাম্বপ্রিন্ট যোগ করুন। বিশ্বস্ত .rdp প্রকাশকদের প্রতিনিধিত্বকারী শংসাপত্রগুলির SHA1 থাম্বপ্রিন্টগুলি নির্দিষ্ট করুন-এ থাম্বপ্রিন্টগুলি (একটি সেমিকোলন দ্বারা পৃথক করা) নির্দিষ্ট করুন কম্পিউটার কনফিগারেশনে নীতি -> নীতি -> প্রশাসনিক টেমপ্লেট -> Windows উপাদান -> রিমোট ডেস্কটপ সেটিংস -> রিমোট ডেস্কটপ সংযোগ ক্লায়েন্ট।

একটি পাসওয়ার্ড (RDP একক সাইন অন) না দিয়ে স্বচ্ছ RDP লগঅন কনফিগার করতে, অনুমতি ডিফল্ট শংসাপত্র কনফিগার করুন নীতি এবং এটিতে RDP/RDS হোস্টের নাম উল্লেখ করুন (কীভাবে করতে হয় এই নিবন্ধটি দেখুন)।