La mayoría de las organizaciones no implementan certificados para sistemas en los que están habilitando RDP para permitir conexiones remotas para la administración, o para un SO como windows 10 u otros; Muchas organizaciones decididen enviar RDP a una máquina a través de una dirección IP, esta práctica no es correcta, funcionará pero siempre recibirá una advertencia, porque está intentando conectarse usando una dirección IP en lugar de un nombre, y no se puede usar un certificado para autenticar una dirección IP. Entonces, RDP le pide que se asegure que desea conectarse, ya que no puede verificar que esta sea realmente la máquina a la que desea conectarse pues el principal motivo es que alguien podría haber tomado control del mismo.

A continuación se indica la solución para que el usuario pueda conectarse a las aplicaciones o escritorios que esten publicados desde cualquier dispositivo y desde cualquier lugar implementando los certificados de seguridad mitigando vulnerabilidades como SSL Self-Signed Certificate, SSL Certificate Cannot Be Trusted, entre otros:

Solución

  • Exporte el certificado de la máquina remota (no se necesita clave privada) y cree un GPO que disperse el certificado autofirmado de la máquina remota a la máquina local. Importe el certificado de la máquina remota a un nuevo GPO en Configuración de la computadora:

Configuration -> Policies -> Windows Settings -> Security Settings -> Public Key Policies -> Trusted Root Certification Authorities.

Esto instalará el certificado de la máquina en la máquina local, por lo que la próxima vez que RDP use el nombre de la máquina remota, la advertencia desaparecerá.

Si no desea realizar manual el proceso en cada RDP cree un nuevo GPO a nivel de dominio. no se recomienda usar la Política de dominio predeterminada, es una mala práctica. Luego edítelo;

Configuración del equipo -> Políticas -> Plantillas administrativas -> Componentes de Windows -> Servicios de escritorio remoto -> Host de sesión -> Seguridad

La opción que desea establecer es “Plantilla de certificado de autenticación del servidor” Escriba el nombre de su plantilla de certificado personalizada y cierre la política para guardarla.

Tan pronto como esta política se propague a las respectivas computadoras de dominio o forzarla a través de gpupdate /force o gpupdate.exe, cada máquina a la que se aplica el GPO que permita conexiones de escritorio remoto la usará para autenticar conexiones RDP.

Ejemplo

Se instaló un certificado personalizado con el EKU de autenticación de escritorio remoto mediante la inscripción automática. Luego se crea un GPO llamado “Certificado RDP” y se vincula a nivel de dominio. Se actualiza la política de grupo en un servidor miembro.

  • Otra forma de implementar certificados es obligar a las máquinas a usar un certificado específico para RDP a través de un comando WMIC desde un indicador elevado, o  PowerShell. Este se debe hacer desde la máquina individual. Necesitará la huella digital del certificado que desea que RDP use, y el certificado mismo debe existir en la tienda personal de la máquina con el EKU apropiado.

CMD:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=”THUMBPRINT”

PowerShell:

$path = (Get-WmiObject -class “Win32_TSGeneralSetting” -Namespace root\cimv2\terminalservices -Filter “TerminalName=’RDP-tcp'”).__path

Set-WmiInstance -Path $path -argument @{SSLCertificateSHA1Hash=”THUMBPRINT”}

  • En el caso de Windows 2012 / 2012R2:
  1. En Connection Broker, abra el Administrador del servidor. Haga clic en Servicios de escritorio remoto en el panel de navegación izquierdo.
  2. Haga clic en Tareas> Editar propiedades de implementación.
  3. En la ventana Configurar la implementación, haga clic en Certificados.
  4. Haga clic en Seleccionar certificados existentes y luego busque la ubicación donde tiene un certificado guardado (generalmente es un archivo .pfx).
  5. Importe el certificado.

Puede usar un solo certificado para todos los roles si sus clientes son internos solo al dominio, generando un certificado comodín y vinculándolo a todos los roles. O utilizar múltiples certificados si tiene requisitos internos y externos.

Bibliografia:

https://www.tenable.com/plugins/nessus/57582

https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/remote-desktop-connection-rdp-certificate-warnings/ba-p/259301

 

 

No Comment

You can post first response comment.

Leave A Comment

Please enter your name. Please enter an valid email address. Please enter message.

You may also like