Luați în considerare caracteristicile instalării centralizate a certificatelor pe computerele de domeniu și adăugarea acestora la lista celor de încredere utilizând politicile de grup. În cazul nostru, vom instala un certificat Exchange cu auto-semnatare pe computerele client.
În cazul în care un certificat auto-semnat este utilizat de către serverul Exchange, pe client, prima dată când porniți Outlook, apare un mesaj că certificatul nu este de încredere și sigur să-l folosească.
Pentru a elimina acest avertisment, trebuie să adăugați certificatul Exchange în lista de certificate de sistem de încredere de pe computerul utilizatorului. Acest lucru se poate face manual (fie prin integrarea certificatului imaginii corporative a sistemului de operare), dar este mult mai ușor și mai eficient pentru a instala automat certificatul utilizând caracteristicile politica de grup (GPO). Cu această tehnică, certificatul va fi instalat automat pe toți utilizatorii de PC vechi și noi din domeniu.Mai întâi de toate, trebuie să exportăm un certificat cu auto-semnat de la serverul nostru Exchange. Pentru a face acest lucru, pe server, deschideți consola mmc.exe și adăugați modulul snap-in Certificate (pentru computerul local).
Mergeți la Certificatele (Computer local) -> Autorități de certificare a principalelor certificate -> Certificate
În secțiunea din dreapta, găsiți certificatul Exchange și selectați AllTasks -> Export din meniul contextual.
În Expertul de export, selectați formatul DER encodedbinaryX.509 (.CER) și specificați calea către fișierul de certificat. Deci, ne-am exportat certificatul Exchange într-un fișier, care trebuie să fie plasate într-un dosar de rețea în cazul în care toți utilizatorii au acces la citirea (dacă este necesar, poate restricționa NTFS acces permisiuni, sau, alternativ, puteți ascunde în mod opțional directorul folosind Abe). De exemplu, lăsați calea spre fișierul certificatului să fie: \\ msk-fs01 \ GroupPolicy $ \ CertificatesAcum, să creăm o politică de distribuire a certificatelor. Pentru a face acest lucru, deschideți consola de gestionare a politicii de grup (gpmc.msc). Creați o nouă politică de OU pentru care va acționa (în acest exemplu, OU cu computerele, pentru că noi nu dorim certificatul este instalat pe server, și sistemele tehnologice), apoi faceți clic pe CreateaGPIinthisdomainandLinkithere ...
Specificați numele politicii (Install-Exchange-Cert) și accesați modul de editare.
În partea dreaptă a ferestrei, faceți clic pe RMB și selectați Import.
Specificați calea spre fișierul de certificat importat pe care l-am plasat în directorul de rețea. Într-o etapă corespunzătoare a expertului indică în mod necesar că certificatul trebuie să fie plasate în secțiunea TrustedRootCertificationAuthorities (Autoritățile Trusted Root Certification). A fost creată politica de distribuire a certificatelor. Este posibilă direcționarea mai strictă a politicii către clienți utilizând Filtrarea de securitate sau filtrarea WMI. Acum, când configurați Outlook, o fereastră cu un avertisment despre un certificat neîncrederit nu va mai apărea.Prin urmare, am configurat o politică de distribuire automată a certificatului tuturor computerelor din domeniu (într-un anumit container sau grup de securitate a domeniului). Certificatul va fi instalat automat pe toate computerele noi, fără a necesita niciun suport tehnic din partea serviciilor de asistență tehnică.
Recuperarea fișierelor după infecție de către criptograful din instantanee VSS
MS Local Administrator Password Solution - gestionarea parolei pentru administratorii locali din domeniu
Blocarea virușilor și a criptarelor utilizând Politicile de restricționare a software-ului
De ce unele GPO au încetat să funcționeze după instalarea MS16-072
Configurarea aplicației Mozilla Firefox pentru a lucra în mediul corporativ
Metode de protecție împotriva mimikatz într-un domeniu Windows
Rezoluție: 1346 x 733 57 interogări. 0.476 sec 23.66 MB