Форум Краматорська
Краматорськ та світ навколо нас => Компьютеры, мобилки, софт, Интернет, провайдеры => Тема розпочата: Mr.Bean від 21 Квітня 2016, 14:43:37
-
Подскажите, пожалуйста, ещё по одному вопросу... Есть сервак в датацентре, Windows 2008 Standart. На нём подняты AD и RDP, VPN отсутствует. Нужно разрешить отдельным пользователям коннектиться только с определённого айпишника. Можно ли это реализовать штатными средствами винды?
-
Подскажите, пожалуйста, ещё по одному вопросу... Есть сервак в датацентре, Windows 2008 Standart. На нём подняты AD и RDP, VPN отсутствует. Нужно разрешить отдельным пользователям коннектиться только с определённого айпишника. Можно ли это реализовать штатными средствами винды?
Добрый день. Можно с помощью правил для входящих подключений в брандмауэре Windows.
Необходимо в областях в Удаленных IP-адресах указать необходимые для вас IP.
(http://i79.fastpic.ru/big/2016/0421/29/2b9e886ffbc930aa959235c86a8e8c29.png) (https://www.kramatorsk.info/talk/go.php?url=http%3A%2F%2Ffastpic.ru%2F)
-
Нужно разрешить отдельным пользователям коннектиться только с определённого айпишника
Так в том то и дело, что _отдельным_ пользователям. А в данном случае, правило - глобальное.
Это какая-то нестандартная хрень.
Разверни RDP ферму, и пропиши права доступа на каждом узле )
p.s. Можно покопать в сторону powershell скрипта, который просмотрит свойства удаленных соединений, и обрубит коннекцию, если не с того айпишника зашел юзер - х.з.
http://discoposse.com/2012/10/20/finding-rdp-sessions-on-servers-using-powershell/
http://www.virtualizationadmin.com/articles-tutorials/vdi-articles/general/using-powershell-control-rds-windows-server-2012.html
https://technet.microsoft.com/en-us/library/jj215451.aspx
-
а в чем проблема поднять VPN?
-
Если брутят - можно просто перевесить RDP на какой-нибудь нестандартный порт. Помогает :)
-
Можно еще поднять Certificate Authority, кажому юзеру выдать сертификат, в настройках правил файрволла указывать, что соединение должно быть защищено, и создать connection security rules.
В гугле много информации на эту тему.
Только вот, корневой центр центр сертификации просто обязан быть выделенным, без доступа в Интернет, чтобы не иметь возможность быть скомпрометированным.
В итоге - если подлинность, на основании сертификата, который у пользователя, не сможет быть подтверждена - соединение не сможет быть установлено.
-
можно еще сканеры поставить:
один - снимает отпечатки пальцев. второй - сканирует сетчатку глаза.
третий - берет ДНК из пробы слюны.
Также поставить анализатор голоса и применить eToken :lol:
И не забыть термический анализатор лица
-
Если брутят - можно просто перевесить RDP на какой-нибудь нестандартный порт. Помогает :)
Нет, там в другом дело :) Нужно чтобы отдельные пользователи могли работать только из офиса.
а в чем проблема поднять VPN?
В принципе, можно, но как это поможет? Пока самым лучшим вариантом кажется скрипт.
-
А если вот такой костыль (один port - ходить только из офиса, второй port - только не из офиса)
1) Воткнуть в сервер вторую сетевую карту, для приватного IP адреса
2) Подключить сетевые карты через роутер
3) На роутере включить DHCP, сделать биндинг выдаваемого приватного IP адреса к MAC
4) Сделать на роутере port forwarding: нестандартный_rdp_port_1->3389_private_ip_address_ 1, нестандартный_rdp_port_2->3389_private_ip_address_ 2
5) На сервере поднять виртуализацию (например, virtualbox), на втором сетевом интерфейсе, с вендой и терминальным сервером.
6) в настройках фаерволла двух венд: обычные IP ходят только на ip_1, необычные офисные - только на ip_2
Зашел офисный чуваг на терминальный сервер виртуальной машины - и сразу запустил оттуда второе RDP соединение с host os.
-
А если вот такой костыль (один port - ходить только из офиса, второй port - только не из офиса)
Думаю, мне потом этот костыль в ж... засунут О_о
-
Это почему же?
Enterprise grade костыль, да еще и с виртуализацией, в жопу???
-
брррр, дык а в чем проблема с VPN с сертификацией по ключам?
вставил флешку - сертифицировалсо, получил доступ.
-
брррр, дык а в чем проблема с VPN с сертификацией по ключам?
вставил флешку - сертифицировалсо, получил доступ.
А какова вероятность того, что кто-то себе копию ключа на личную флешку сделает? :) Да и кроме офиса есть около двух десятков удалённых точек, из которых тоже люди работают :(
-
это на совести сотрудников.
у гл. буха обычно все ключи имеются от клиент-банка - и свой и директора. и обычно на флешке хранятся. можно скопировать и подарить кому-то мильйон...
-
Да и кроме офиса есть около двух десятков удалённых точек, из которых тоже люди работают
Можно попробовать трехстороннее приложение http://www.isdecisions.com/products/userlock/ (месячный триал - на сайте)
которое, судя по видео
http://www.isdecisions.com/products/userlock/access-control-management-to-windows-server-network.htm
4:35 может сделать ограничение по IP адресу юзера, который авторизован в AD
Да и репорты активности юзеров показывает.
При такой большой IT инфраструктуре, думаю, пару сотен евро за лицензию будет невнапряг
а иначе - авторизация по смарт-картам, которые цепями прикручены к столу :)