none
Пускать пользователей только из определенного расположения RRS feed

  • Вопрос

  • Добрый день,

    Есть задача для определенных пользователей попадать на сервера только через определенный сервер, при этом если пользователи не попадают в число ущемляемых - попадать могут откуда угодно.

    Например, как на картинке выше, мы хотим создать Коле геморрой, и говорим что вот он теперь должен ходить через промежуточный сервер. При этом на уровне Firewall правила не канают так как нужно правило не для хоста, а для пользователя. Коля может быть администратором на конечных хостах, но может и не быть.

    Есть некрасивое решение, но так же есть подозрение что есть и красивое. Если есть идеи, буду рад обсудить :)


    The opinion expressed by me is not an official position of Microsoft


    23 октября 2017 г. 10:56
    Модератор

Ответы

Все ответы

  • Есть такая мысль.

    Заходя по RDP на сервер в списке переменных есть "CLIENTNAME", можно логон-скриптом проверять эту переменную и гасить сессию, если "CLIENTNAME" не из whitelist.

    23 октября 2017 г. 11:11
  • Есть такая мысль.

    Заходя по RDP на сервер в списке переменных есть "CLIENTNAME", можно логон-скриптом проверять эту переменную и гасить сессию, если "CLIENTNAME" не из whitelist.

    Точняк так и мы подумали :)

    Но думаю что возможны еще варианты


    The opinion expressed by me is not an official position of Microsoft

    23 октября 2017 г. 11:14
    Модератор
  • Есть еще вариант - прокси.
    23 октября 2017 г. 11:33
  • Есть еще вариант - прокси.
    Если не сложно, просветите в двух словах

    The opinion expressed by me is not an official position of Microsoft

    23 октября 2017 г. 12:21
    Модератор
  • Есть еще вариант - прокси.

    Если не сложно, просветите в двух словах

    The opinion expressed by me is not an official position of Microsoft

    На примере TMG

    Создаете группу пользователей и создаете на них правило - если протокол RDP на сервер Server1, то пересылать пакеты на Server2

    Сам такого не проделывал, но более чем уверен, что подобное можно провернуть

    23 октября 2017 г. 12:29
  • TMG у нас нет, а то что в качестве прокси используется насколько знаю таким функционалом не обладает. Покупать что то сильно дорогое пуд эту задачу нам не дадут, на и не сильно охота.

    Но даже если опустить эти моменты, "Коле" никто не запретит ходить напрямую миную проксю. Или я что то не так понимаю?


    The opinion expressed by me is not an official position of Microsoft

    23 октября 2017 г. 12:33
    Модератор
  • TMG у нас нет, а то что в качестве прокси используется насколько знаю таким функционалом не обладает. Покупать что то сильно дорогое пуд эту задачу нам не дадут, на и не сильно охота.

    Но даже если опустить эти моменты, "Коле" никто не запретит ходить напрямую миную проксю. Или я что то не так понимаю?


    The opinion expressed by me is not an official position of Microsoft

    Если у вас клиенты и сервера в одном сегменте сети, то - проблема. В противном случае все будут ходить через ваш прокси/шлюз.
    23 октября 2017 г. 12:39
  • Если у вас клиенты и сервера в одном сегменте сети, то - проблема. В противном случае все будут ходить через ваш прокси/шлюз.

    Сегменты разные, но есть вагон дырок под разные задачи между разными хостами. Закрыть дырки не представляется возможным так как согласовывать такие изменения никто не возьмется. Да и народу много.

    Получится что мы не Колю геморроем пригрузим, а всех, а все нам этого не простят - сильно злопамятные :-(


    The opinion expressed by me is not an official position of Microsoft

    23 октября 2017 г. 12:48
    Модератор
  • Тогда, давайте по порядку :D

    1. Файл hosts на машине пользователя

    2. GPO для этого пользователя. Тут нужно придумать как все организовать. Предположим, другой DNS сервера в настройках сети... и так далее. 

    23 октября 2017 г. 13:11
  • Тогда, давайте по порядку :D

    1. Файл hosts на машине пользователя

    2. GPO для этого пользователя. Тут нужно придумать как все организовать. Предположим, другой DNS сервера в настройках сети... и так далее. 

    Пользователь может ходить как с рабочей станции так и с терминальных серверов.

    Правленные хосты выглядят не благонадежно с точки зрения антивирусов, DNS доменные. Завезти отдельный можно но опять таки не понятно что мешает например Коле поменять DNS или вообще заломиться по адресу.


    The opinion expressed by me is not an official position of Microsoft

    23 октября 2017 г. 13:29
    Модератор
  • Если на ваш Коля с it на ты, то тут сложнее.

    Можно запретить менять настройки в групповых политиках, другое дело если Коля знает ip сервера или знает как этот ip получить 


    23 октября 2017 г. 13:44
  • Добрый день,

    Есть задача для определенных пользователей попадать на сервера только через определенный сервер, при этом если пользователи не попадают в число ущемляемых - попадать могут откуда угодно.

    Например, как на картинке выше, мы хотим создать Коле геморрой, и говорим что вот он теперь должен ходить через промежуточный сервер. При этом на уровне Firewall правила не канают так как нужно правило не для хоста, а для пользователя. Коля может быть администратором на конечных хостах, но может и не быть.

    Есть некрасивое решение, но так же есть подозрение что есть и красивое. Если есть идеи, буду рад обсудить :)


    The opinion expressed by me is not an official position of Microsoft


    Если пользователи и компьютеры в домене и пользователи входят в систему на компьютерах под теми же учётками, под которыми хотят попасть на терминальный сервер, то брандмауэр поможет - в нём тогда можно сделать правило подключения для пользователя.

    Если же нет, то штатное решение - через RD Gateway, а одно из нештатных вы сами уже нашли.


    Слава России!

    23 октября 2017 г. 14:00
  • Добрый день, M.V.V. подскажите пожалуйста что необходимо что бы реализовать задачу через Firewall.

    Функционал нашел, выбрал в Firewall создание нового правила с профилем RDS, в качестве группы выбрал Domain users, в качестве исключения указал группу Test,  в настройках машин ничего не указывал.

    Как только правило создалось доступ пропал и у тех кто входит в группу Test, так и у тех кто в группу не входит.

    Мне нужны какие то сертификаты, настройки чего то кроме Firewall что бы это завелось?


    The opinion expressed by me is not an official position of Microsoft

    25 октября 2017 г. 13:32
    Модератор
  • У меня в блоге есть пример решения сходной задачи: Доступ пользователей к терминальному серверу только с отведенных для каждого из них компьютеров. Посмотрите, может, поможет.

    PS Сертификаты тут никакие не нужны: в решении используется MS-овское расширение IPsec с аутентификацией по Kerberos.


    Слава России!

    • Помечено в качестве ответа Vector BCOModerator 3 ноября 2017 г. 14:17
    25 октября 2017 г. 13:49
  • Спасибо огромное буду пробовать, по результатам отпишусь.

    The opinion expressed by me is not an official position of Microsoft

    25 октября 2017 г. 13:52
    Модератор
  • У меня в блоге есть пример решения сходной задачи: Доступ пользователей к терминальному серверу только с отведенных для каждого из них компьютеров. Посмотрите, может, поможет.

    PS Сертификаты тут никакие не нужны: в решении используется MS-овское расширение IPsec с аутентификацией по Kerberos.


    Слава России!

    Попробовали в четверг развернуть сценарий с IPSEC + Firewall, по вашей статье. Доступ сделали не персональный, а через группу.

    В задаче у нас есть Serv (сервер на который подключаемся), CL1 (промежуточная точка через которую должны заходить пользюки входящие в группу), CL2 (те кто входят в группу не должны попадать отсюда, все остальные могут отсюда заходить на сервер), CL3 (машина на которой нет правила IPSEC которое распространяется политикой только на CL1 и  CL2)

    CL1, CL2 ведут себя ровно так как описано у Вас в статье - кого нужно пускают, кого не нужно не пускают. В свою очередь c CL3 можно зайти как пользователем который входит в группу так, и тем который не входит... Всех подопытных перезагружали и обновляли на них политики.

    Подскажите пожалуйста так и должно быть с CL3, или я что то упустил при настройке?


    The opinion expressed by me is not an official position of Microsoft

    30 октября 2017 г. 6:43
    Модератор
  • Плохо что-то понимаю, что именно вы хотите сделать. На той картинке, что вначале этого нет.

    Слава России!

    30 октября 2017 г. 7:17
  • Плохо что-то понимаю, что именно вы хотите сделать. На той картинке, что вначале этого нет.

    Слава России!

    Проверяем что будет если... проще говоря как обойти данное ограничение.

    Если говорить про картинку то это выглядит как то так:


    The opinion expressed by me is not an official position of Microsoft

    30 октября 2017 г. 7:29
    Модератор
  • Доступ нужно ограничивать и на сервере с помощью IPsec/брандмауэра  (примерно как в пп.3,4 в статье), таким образом, чтобы подключение с CL3 (и других машин, окуда возможен нежелательный вход) без IPsec не дозволялось. Например - ограничить в правиле, аналогичном из п.4 доступ без IPsec из той подсети, где обитают CL1-CL3 (как я понял, это у вас отдельная подсеть). 

    Естественно, если кому-то нужен доступ с CL3, то на CL3 надо распространить политику IPsec.


    Слава России!

    30 октября 2017 г. 7:43
  • а чо нить на базе клаймов(Claims) нельзя прикрутить? ну типа DAC для файлов, там же можно привязывать условия... ну или с AD FS попробовать :-)
    8 ноября 2017 г. 16:54
  • Claims годится только для разграничения доступа в файловой системе (в Win2012 R2 - точно, там доступ через Claims разрешает/запрещает не Security Monitor, а специальный драйвер фильтра).

    ADFS - это, вообще-то, для того, что по протоколу HTTP(S) работает. В RDP по HTTPS (RPC over HTTPS) работает только подключние через RD Gateway: а в нём и так есть встроенные возможности пускать разных пользователей на разные серверы.


    Слава России!

    8 ноября 2017 г. 23:50
  • Claims годится только для разграничения доступа в файловой системе (в Win2012 R2 - точно, там доступ через Claims разрешает/запрещает не Security Monitor, а специальный драйвер фильтра).

    ADFS - это, вообще-то, для того, что по протоколу HTTP(S) работает. В RDP по HTTPS (RPC over HTTPS) работает только подключние через RD Gateway: а в нём и так есть встроенные возможности пускать разных пользователей на разные серверы.


    Слава России!

    Мы на тестовом стенде откатали, сейчас готовим инфраструктуру для прода. Указанное решение нам вполне подходит. Спасибо

    The opinion expressed by me is not an official position of Microsoft

    9 ноября 2017 г. 7:41
    Модератор