none
GPO para evitar el acceso al RDWeb a computadores q están fuera del dominio RRS feed

  • Pregunta

  • Buen día.

    Estoy buscando una GPO para restringir el acceso a la sitio web que da el RDWeb.

    es decir que ningún computador que no esté dentro del dominio pueda ingresar al RDweb y a los servidores.

    Los servidores tiene un Windos 2012 R2

    Muchas gracias por su ayuda 

    miércoles, 1 de febrero de 2017 13:56

Respuestas

  • El problema de seguridad que tienes es grave, estás exponiendo toda tu infraestructura de Escritorio Remoto en forma pública en la web

    Hay dos opciones, o una más pero más complicada de configurar

    1.- Configurar un servidor VPN, o en el propio Router que conecta a Internet. Cualquiera que necesite ingresar, primero debe establecer una conexión VPN, y luego será casi igual que si estuviera en al red interna

    2.- Configurar la funcionalidad "Remote Desktop Gateway" en una máquina separada y ubicada en una red DMZ

    3.- Se podría inclusive crear una infraestructura con DirectAccess, pero el proceso es más complicado y requerirías más máquinas disponibles

    Pienso que lo que te conviene, es que los usuarios se conecten por VPN, ya sea que ésta se configure en el Router, o en un servidor dedicado, y luego sería prácticamente igual a que estén trabajando localmente

    Pero además es importante que en cualquier caso, ninguna máquina tenga direccionamiento IP público, sólo el cortafuegos, que luego redirigirá el tráfico y la IP y puerto correspondiente interno

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 1 de febrero de 2017 16:25
    • Marcado como respuesta Moderador M viernes, 10 de febrero de 2017 15:40
    miércoles, 1 de febrero de 2017 15:25
    Moderador

Todas las respuestas

  • El control de acceso a los recursos, y por lo tanto a las máquinas y también RDWeb, se hace por usuario, no por máquina. De por sí, en el caso específico de RDWeb lo primero que tiene que hay que ingresar para acceder es un nombre de usuario y contraseña válidos en el Dominio

    Trata por favor de ser más específico en definir el objetivo ¿hay máquinas en la red que no pertencen al Dominio? ¿es acceso externo? ¿están en la misma o diferente red? Resumiendo, más datos de cuál es el objetivo final para poder ver si tiene solución

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 1 de febrero de 2017 14:05
    Moderador
  • Si hay maquinas que están fueran del dominio pero se quiere evitar que esas maquinas fuera del dominio ingresen al RDWeb.

    todo está dentro de la misma red, pero si uno está en casa por ejemplo uno tiene acceso a la IP publica del servidor para entrar.

    el objetivo con esta GPO es tener mas seguridad sobre los servidores y tener mas control sobre los mismos.

    miércoles, 1 de febrero de 2017 14:46
  • El problema de seguridad que tienes es grave, estás exponiendo toda tu infraestructura de Escritorio Remoto en forma pública en la web

    Hay dos opciones, o una más pero más complicada de configurar

    1.- Configurar un servidor VPN, o en el propio Router que conecta a Internet. Cualquiera que necesite ingresar, primero debe establecer una conexión VPN, y luego será casi igual que si estuviera en al red interna

    2.- Configurar la funcionalidad "Remote Desktop Gateway" en una máquina separada y ubicada en una red DMZ

    3.- Se podría inclusive crear una infraestructura con DirectAccess, pero el proceso es más complicado y requerirías más máquinas disponibles

    Pienso que lo que te conviene, es que los usuarios se conecten por VPN, ya sea que ésta se configure en el Router, o en un servidor dedicado, y luego sería prácticamente igual a que estén trabajando localmente

    Pero además es importante que en cualquier caso, ninguna máquina tenga direccionamiento IP público, sólo el cortafuegos, que luego redirigirá el tráfico y la IP y puerto correspondiente interno

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M miércoles, 1 de febrero de 2017 16:25
    • Marcado como respuesta Moderador M viernes, 10 de febrero de 2017 15:40
    miércoles, 1 de febrero de 2017 15:25
    Moderador