У одного из наших клиентов поднят терминальный сервер, на котором достаточно активно работают сотрудники и сторонние пользователи.
По просьбе клиента мы реализовали ограничение на вход на терминальный сервер для некоторых групп пользователей: подключение возможно только с рабочего места. Из других мест подключаться они не должны.
Это необходимо, например, если мы опасаемся, что важные данные могут быть скачаны с сервера, если пользователь подключится из дома.
Исходные данные: Подключение к терминальному серверу идет через интернет без VPN, в офисе подключен «белый» IP-адрес. Наличие такого адреса важно потому, что именно по нему мы будем отличать пользователей, подключающихся с рабочего места.
Для этой цели создаем 2 группы: office и mir. Добавляем пользователей в группы, в office — тех кому можно подключаться только из офиса и в mir – кому можно подключаться из любой точки. И добавляем эти группы в группу Remote Desktop Users.
Далее создаем второй RDP коннектор на терминальном сервере, для этого заходим в реестр по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и экспортируем ветку RDP-Tcp.
Затем в сохраненной нами ветке редактируем пути (заменяем RDP-Tcp на RDP-Tcp-OFFICE):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp-OFFICE]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp-OFFICE \TSMMRemotingAllowedApps]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations RDP-Tcp-OFFICE \UserOverride]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp-OFFICE \UserOverride\Control Panel]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp-OFFICE \UserOverride\Control Panel\Desktop]
И меняем стандартный порт 3389 (PortNumber) на свой. Небольшой лайфхак: написание в шестнадцатеричной форме можно посмотреть зайдя в параметр реестра PortNumber изменив «Значение» порта и переключаться между параметрами «Система исчисления» — НЕ ПРИМЕНЯЯ.
«PortNumber»=dword:00000d3d – соответствует порту 3389
«PortNumber»=dword:000003e7 — соответствует порту 999
Сохраняем и импортируем.
Прослушиваемые порты можно просмотреть командой netstat -a
У нас должен появиться второй RDP коннектор RDP-Tcp-OFFICE
В свойствах безопасности стандартного коннектора RDP-Tcp закрываем доступ для группы office.
В свойстваx безопасности коннектора RDP-Tcp-OFFICE удаляем группу Remote Desktop Users и добавляем разрешения для группы office.
Далее нужно заблокировать все IP-адреса для выбранного нами порта, кроме офисного IP-адреса. Для этого создаем правило в брандмауэре, указываем порт и разрешаем подключения с офисного IP-адреса.
Теперь наш терминальный сервер доступен для группы office только по 999 порту и только с рабочего места.
Оставить комментарий