30Май

Ограничение доступа на терминальный сервер

By , Май 30th, 2014 | Новости | 0 Комментарии

У одного из наших клиентов поднят терминальный сервер, на котором достаточно активно работают сотрудники и сторонние пользователи.
По просьбе клиента мы реализовали ограничение на вход на терминальный сервер для некоторых групп пользователей: подключение возможно только с рабочего места. Из других мест подключаться они не должны.
Это необходимо, например, если мы опасаемся, что важные данные могут быть скачаны с сервера, если пользователь подключится из дома.

Исходные данные: Подключение к терминальному серверу идет через интернет без VPN, в офисе подключен «белый» IP-адрес. Наличие такого адреса важно потому, что именно по нему мы будем отличать пользователей, подключающихся с рабочего места.

Для этой цели создаем 2 группы: office и mir. Добавляем пользователей в группы, в office – тех кому можно подключаться только из офиса и в mir – кому можно подключаться из любой точки. И добавляем эти группы в группу Remote Desktop Users.

Далее создаем второй RDP коннектор на терминальном сервере, для этого заходим в реестр по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и экспортируем ветку RDP-Tcp.

2-1

Затем в сохраненной нами ветке редактируем пути (заменяем RDP-Tcp на RDP-Tcp-OFFICE):

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp-OFFICE]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp-OFFICE \TSMMRemotingAllowedApps]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations RDP-Tcp-OFFICE \UserOverride]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp-OFFICE \UserOverride\Control Panel]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\ RDP-Tcp-OFFICE \UserOverride\Control Panel\Desktop]

И меняем стандартный порт 3389 (PortNumber) на свой. Небольшой лайфхак: написание в шестнадцатеричной форме можно посмотреть зайдя в параметр реестра PortNumber изменив «Значение» порта и переключаться между параметрами «Система исчисления» – НЕ ПРИМЕНЯЯ.

2-2

“PortNumber”=dword:00000d3d – соответствует порту 3389

“PortNumber”=dword:000003e7 – соответствует порту 999

Сохраняем и импортируем.

Прослушиваемые порты можно просмотреть командой netstat -a

У нас должен появиться второй RDP коннектор RDP-Tcp-OFFICE

2-3

 

 

В свойствах безопасности стандартного коннектора RDP-Tcp закрываем доступ для группы office.

2-4

В свойстваx безопасности коннектора RDP-Tcp-OFFICE удаляем группу Remote Desktop Users и добавляем разрешения для группы office.2-8

 

Далее нужно заблокировать все IP-адреса для выбранного нами порта, кроме офисного IP-адреса. Для этого создаем правило в брандмауэре, указываем порт и разрешаем подключения с офисного IP-адреса.

2-7

Теперь наш терминальный сервер доступен для группы office только по 999 порту и только с рабочего места.