none
Блокирование доступа пользователей домена к сетевым ресурсам через терминальный режим RRS feed

  • Вопрос

  • Вечер добрый. Есть домен с DC windows server 2003 и несколько серверов с windows server 2008 r2. Пользователи проходят проверку через логин и пароль и могут со своего компа заходить на сетевые шары согласно разрешениям. Решили интернет раздавать пользователям через RDP подключение к серверу с windows server 2008 r2(две сетевухи) и запуском internet explorera(кроме браузера они ничего не будут видеть). Стоит задача запретить особо умным пользователям которые могут в адресной строке или при сохранении файлов вбить адрес например \\DC, его ip или других компов на которых есть сетевые шары и с них отправить информацию. Но надо сделать так чтоб этот запрет был только когда они в терминале. Спасибо.
    31 января 2015 г. 21:58

Ответы

  • Здравствуйте,

    Если я Вас правильно понимаю, то Вы можете на терминальном сервере с помощью Windows Firewall запретить исходящие пакеты  на 445 порт(либо разрешить только определенному белому списку серверов), тем самым не будет возможности попасть на сетевые шары.

    Также можете ознакомиться со статьей "Device and Resource Redirection", которая сможет помочь обезопасить сервер об подключений локальных дисков и т.д.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 31 января 2015 г. 22:51 Добавлено
    • Предложено в качестве ответа osr_MVP, Moderator 1 февраля 2015 г. 6:20
    • Помечено в качестве ответа Alexander RusinovModerator 1 февраля 2015 г. 14:43
    31 января 2015 г. 22:31
    Модератор
  • А закрытие 445 порта не будет блокировать доступ терминального сервера к DC и к AD?

    Так Вы можете организовать правило с неким белым списком (серверов), которым не следует закрывать доступ к сетевым дискам, далее создать правило которое будет всем остальным запрещать.

    Подробнее о приоритетах правил можете ознакомится со статьей "Understanding Firewall Rules"

    Best Regards, Andrei ...
    Microsoft Certified Professional

    1 февраля 2015 г. 10:11
    Модератор

Все ответы

  • Здравствуйте,

    Если я Вас правильно понимаю, то Вы можете на терминальном сервере с помощью Windows Firewall запретить исходящие пакеты  на 445 порт(либо разрешить только определенному белому списку серверов), тем самым не будет возможности попасть на сетевые шары.

    Также можете ознакомиться со статьей "Device and Resource Redirection", которая сможет помочь обезопасить сервер об подключений локальных дисков и т.д.

    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 31 января 2015 г. 22:51 Добавлено
    • Предложено в качестве ответа osr_MVP, Moderator 1 февраля 2015 г. 6:20
    • Помечено в качестве ответа Alexander RusinovModerator 1 февраля 2015 г. 14:43
    31 января 2015 г. 22:31
    Модератор
  • Спасибо за ответ! Вы правильно поняли.

    А закрытие 445 порта не будет блокировать доступ терминального сервера к DC и к AD?

    1 февраля 2015 г. 10:02
  • А закрытие 445 порта не будет блокировать доступ терминального сервера к DC и к AD?

    Так Вы можете организовать правило с неким белым списком (серверов), которым не следует закрывать доступ к сетевым дискам, далее создать правило которое будет всем остальным запрещать.

    Подробнее о приоритетах правил можете ознакомится со статьей "Understanding Firewall Rules"

    Best Regards, Andrei ...
    Microsoft Certified Professional

    1 февраля 2015 г. 10:11
    Модератор
  • Дело в том, что на DC и есть открытые сетевые папки. Хотелось, чтобы терминальный сервер обращался к AD без проблем, а вот пользователи через RDP подключение не могли зайти с терминального сервера на сетевые папки DC. Были попытки блокировать для explorer.exe исходящее подключение в Брандмауэре из соображений, что когда пользователи в адресной строке браузера вводят \\DC то, открываются сетевые папки в проводнике, но это не дало результата. Подскажите, в чем я не прав и  есть ли еще  какие то варианты? Спасибо!
    1 февраля 2015 г. 10:31
  • Вечер добрый. Проблема не решилась закрытием 445 порта.

    Есть еще варианты?

    2 февраля 2015 г. 20:25
  • Добрый вечер,

    Скорее всего дело в том, что у Вас стоит значение на исходящие пакеты по умолчанию, т.е. даже если нет правил -> разрешаются подключения, т.е. в данном случае в правилах "Outbound Rules" можете указать список ip адресов которые нужно заблокировать.

    Важно понимать если Вы установить значение block (default), и не настроены все правила, Вы сможете потерять подключения к серверу, так что перед тем как выполнять какие-то манипуляции убедитесь, что у вас будет возможность попасть к серверу не по сети (например с помощью квм).

    P.S. к сожалению данный метод не сможет выполнить блокировку исходя из имени логина пользователя.


    Best Regards, Andrei ...
    Microsoft Certified Professional

    • Изменено SQxModerator 2 февраля 2015 г. 21:34 добавлено
    2 февраля 2015 г. 21:17
    Модератор
  • Есть еще вариант использовать локальных пользователей теминального сервера. При попытки этим пользователем зайти  на любой сетевой ресурс домена выскакивает окно с логином и паролем, куда можно вбить доменные данные.

    Как можно запретить такое действие локальным пользователям?(чтобы вылетала ошибка доступа)

    Спасибо

    5 февраля 2015 г. 9:20
  • Проблема решилась!

    1. Завел в AD пользователей удаленного рабочего стола (у меня они называются "Пользователи Интернета") и добавил их в созданную новую группу.

    2. Прописал им в свойствах заходить только на сервер терминалов.

    3. Для доступа к серверу терминалов добавил в группу пользователей удаленных рабочих столов (это локальная группа на сервере терминалом) группу Пользователи Интернета.

    4. На всех сетевых папках прописал группе Пользователи Интернета запрет.

    5. На терминальном сервере запретил доступ к локальным дискам.

    11 февраля 2015 г. 19:09