none
Дополнительная защита для Remote Desktop terminal server RRS feed

  • Вопрос

  • Есть терминальный сервер 2008R2 , на него подключаются люди используя доменный учетные записи.

    Задача организовать дополнительную защиту к этому серверу , к примеру  по сертификатам или по учетным записям компютера или чето другое.

    Иидея заключается в  том  чтобы "злоумышленник" который узнает логин и пароль пользователя у которого есть доступ к  терминалке не смог залогинится к серверу.

    Может у кого возникнуть идеи , опыт ? Спасибо.


    • Изменено offskid 15 мая 2013 г. 14:06

Ответы

  • Сертификаты - это конечно идеально, но пока внедряете, можно посмотреть в сторону Защиты доступа к сети (NAP). Вам потребуется организовать шлюз терминального доступа, чтобы применять защиту к подключаемым пользователям. Впрочем сертификаты могут быть частью проверки NAP, которая может включать в себя в том числе другие, очень не тривиальные проверки i.e. MAC адреса, версии операционной системы, наличия определенного файла и т.п.

    P.S. У вас клиенты удаленные или локальные? При желании в локальной сети тоже можно организовать подключение через шлюз, но нужно не забыть еще и настроить терминальный сервер, чтобы особо хитрые юзеры не стали к нему подключатся минуя шлюз и вообще в данном случае предпочтительней все же защита сертификатом (принцип keep it simple и избежания создания единой точки отказа).

    Подробнее как настроить шлюз, можно прочитать тут




  • Модератор

Все ответы

  • Идея заключается в том чтобы "злоумышленник" который узнает логин и пароль пользователя у которого есть доступ к  терминалке не смог залогинится к серверу.
    Вы сами ответили на свой вопрос - сертификаты. Но более-менее полноценно - смарткарты или USB-токены... сертификат хранится на карте/токене пользователя, пароль к хранилищу конкретного токена знает лишь конкретный пользователь...
    Отвечающий
  • Идея заключается в том чтобы "злоумышленник" который узнает логин и пароль пользователя у которого есть доступ к  терминалке не смог залогинится к серверу.

    Вы сами ответили на свой вопрос - сертификаты. Но более-менее полноценно - смарткарты или USB-токены... сертификат хранится на карте/токене пользователя, пароль к хранилищу конкретного токена знает лишь конкретный пользователь...

    Спасибо, но хотелось бы посмотреть какие то мануалы или линки как это реализуется. 

    Можно использовать сертификаты без смарткарты или USB-токены ? 

  • Модератор
  • Сертификаты - это конечно идеально, но пока внедряете, можно посмотреть в сторону Защиты доступа к сети (NAP). Вам потребуется организовать шлюз терминального доступа, чтобы применять защиту к подключаемым пользователям. Впрочем сертификаты могут быть частью проверки NAP, которая может включать в себя в том числе другие, очень не тривиальные проверки i.e. MAC адреса, версии операционной системы, наличия определенного файла и т.п.

    P.S. У вас клиенты удаленные или локальные? При желании в локальной сети тоже можно организовать подключение через шлюз, но нужно не забыть еще и настроить терминальный сервер, чтобы особо хитрые юзеры не стали к нему подключатся минуя шлюз и вообще в данном случае предпочтительней все же защита сертификатом (принцип keep it simple и избежания создания единой точки отказа).

    Подробнее как настроить шлюз, можно прочитать тут