none
Equipos No autorizados en CAL por dispositivo temporales RRS feed

  • Pregunta

  • Saludos.

    Disponemos de un servidor con Windows Server Standard 2008 R2. Dicho equipo es utilizado como servidor de RD. Contamos con un numero especifico de licencias por Dispositivo OPEN por los cuales se conectan los equipos que dependen de dicho servidor.

    El problema es que también aparecen en licencias por Dispositivo temporales unos equipos que desconocemos totalmente. Aun desinstalando el servicio, cambiando de IP pública, incluso cambiando de un servidor físico a otro virtualizado, siguen apareciendo 2 equipos, uno con nombre "a" y otro con nombre "desconocido", ambos quedan fijos. De ahí comienzan a aparecer equipos con diversos nombres.

    Lo extraño es que en ningún momento ingresan a la lista de licencias OPEN, y por lo tanto no consumen las mismas, lo que no nos consta es que recursos consumen del servidor, pues aparentemente no se ven subidas en el uso del procesador o la memoria.

    Quisiéramos saber si hay alguna manera de deshabilitar o bloquear a dichos equipos temporales. Cabe mencionar que disponemos de software antivirus licenciado (se han usado 2, el que disponíamos anteriormente, Eset Endpoint Antivirus y el que usamos actualmente Avira Endpoint Antivirus) y no se detecta ninguna amenaza.

    Gracias de antemano por sus respuestas.

    miércoles, 29 de noviembre de 2017 18:38

Respuestas

  • Lo que tienes no es un problema de licencias, es algo muchísimo más grave

    Ese servidor está expuesto y recibe "con los brazos abiertos" a cualquiera que quiera accederlo, ese es realmente el problema, tienes un servidor de Escritorio Remoto casi público

    Nunca se hace eso, nunca se expone un servidor interno con una IP pública, siempre debe estar detrás de un cortafuegos, y me refiero a un "buen cortafuego", no el de Windows que tiene limitaciones

    Una opción es que se conecten los usuario autorizados por VPN, y recién luego puedan acceder a cualquier otra cosa

    Y otra opción, que es la específica de Escritorio Remoto es "Remote Desktop Gateway"

    Si quieres ver un poco más del tema, en el siguiente enlace hay una serie de siete notas, con la configuración completa paso a paso

    Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1) | WindowServer
    https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/

    Otras opciones de configuración, porque no comentas ni el tipo de acceso, o si utilizas Dominio o no, etc. etc. revisa el siguente enlace

    Remote Desktop – Escritorio Remoto: Resumen de notas | WindowServer
    https://windowserver.wordpress.com/2016/07/28/remote-desktop-escritorio-remoto-resumen-de-notas/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 29 de noviembre de 2017 22:48
    Moderador
  • Hola Carlos, estás ante un tema que no es fácil, para darte sólo un ejemplo, ISA2006 además de ser un producto discontinuado, debe haber perdido todo soporte desde debe hacer por lo menos cinco años

    Sin conocer tu infraestructura es difícil recomendar algo que sea posible y lógico, pero de todas formas, nunca hay que dejar un Escritorio Remoto "libre a Internet" los ataques son continuos. Toda la red debe estar conectada a través de un cortafuegos "de verdad" no sólo el de Windows

    Quizás te sirva, configurar el Router para que sea servidor VPN, y que los externos primero se conecten a la VPN, y recién luego puedan acceder por Escritorio Remoto

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 1 de diciembre de 2017 21:49
    Moderador

Todas las respuestas

  • Lo que tienes no es un problema de licencias, es algo muchísimo más grave

    Ese servidor está expuesto y recibe "con los brazos abiertos" a cualquiera que quiera accederlo, ese es realmente el problema, tienes un servidor de Escritorio Remoto casi público

    Nunca se hace eso, nunca se expone un servidor interno con una IP pública, siempre debe estar detrás de un cortafuegos, y me refiero a un "buen cortafuego", no el de Windows que tiene limitaciones

    Una opción es que se conecten los usuario autorizados por VPN, y recién luego puedan acceder a cualquier otra cosa

    Y otra opción, que es la específica de Escritorio Remoto es "Remote Desktop Gateway"

    Si quieres ver un poco más del tema, en el siguiente enlace hay una serie de siete notas, con la configuración completa paso a paso

    Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1) | WindowServer
    https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/

    Otras opciones de configuración, porque no comentas ni el tipo de acceso, o si utilizas Dominio o no, etc. etc. revisa el siguente enlace

    Remote Desktop – Escritorio Remoto: Resumen de notas | WindowServer
    https://windowserver.wordpress.com/2016/07/28/remote-desktop-escritorio-remoto-resumen-de-notas/ 

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 29 de noviembre de 2017 22:48
    Moderador
  • Saludos!

    Lamentablemente desde hace tiempo se ha trabajado así. Por lo visto quien realizó la configuración no tomo en cuenta la seguridad.

    Agradeceríamos mucho un poco más de orientación al respecto. Efectivamente los equipos están bajo un dominio, existe un servidor proxy pero es por software (ISA 2006), Dicho proxy funciona para los equipos internos de la empresa, pero el Servidor que comentamos tiene una conexión de red con salida directa a internet y otra a la red local, donde actúa el proxy.

    Tengo entendido que se accedia anteriormente desde los terminales remotos mediante VPN, pero por alguna razón eso fue descartado luego, supongo que por desconocimiento. No sabría decir si se usaba el mismo servidor, ya que se han cambiado con el tiempo.

    Actualmente se trabaja de la siguiente forma: En cada equipo remoto existe un acceso a Conexión de Escritorio Remoto, donde esta configurado una IP pública (no enmascarada) con las credenciales correspondientes, por esta vía ingresan directamente al servidor en cuestión.


    Carlos Mendez.

    viernes, 1 de diciembre de 2017 17:04
  • Hola Carlos, estás ante un tema que no es fácil, para darte sólo un ejemplo, ISA2006 además de ser un producto discontinuado, debe haber perdido todo soporte desde debe hacer por lo menos cinco años

    Sin conocer tu infraestructura es difícil recomendar algo que sea posible y lógico, pero de todas formas, nunca hay que dejar un Escritorio Remoto "libre a Internet" los ataques son continuos. Toda la red debe estar conectada a través de un cortafuegos "de verdad" no sólo el de Windows

    Quizás te sirva, configurar el Router para que sea servidor VPN, y que los externos primero se conecten a la VPN, y recién luego puedan acceder por Escritorio Remoto

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 1 de diciembre de 2017 21:49
    Moderador