wzbryk
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SeT
Цитата:| ты не умничай...ты пальцем покажи |
Не, ну ничё себе!!! Молодец! Да мне со всей распальцовкой книгу по этой теме придётся писать и за тебя по Интернету весь день лазить! Не пойдёт.
Показываю навскидку пальцем только основные моменты, которые можно и нужно учесть!
Про запреты NTFS на терминальном сервере:
- Ставите разрешения NTFS, запрещающие неавторизованный доступ в критичные области для группы, в которую входят пользователи терминала (стандартно - Remote Desktop Users). Минимум, для %SystemDrive% (а лучше и все остальные диски), %SystemRoot%, %ProgramFiles% and %SystemRoot%\system32 должно быть:
System - Full Control
Administrators - Full Control
Authenticated Users - Read & Execute
Как это сделать "хорошо" читаем здесь: http://www.brianmadden.com/content/article/Understanding-and-Using-NTFS-Permissions-on-Citrix-and-Terminal-Servers
- Для реестра обязательно поставить "read-only":
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Цитата:| В какой ветке GPO проживает лекарство от создания ярлыков и и "запретить доступ к сети через GPO" |
Делаем так:
- Помещаем TS в отдельный OU
- Создаём для TS строгую GPO (http://support.microsoft.com/?kbid=278295 PavelKhvalov - обратите внимание на раздел [User Configuration\Administrative Templates\Windows Components\Windows Explorer \Common Open File Dialog] в этом документе) с режимом замыкания (http://support.microsoft.com/?kbid=231287). Там же сказанои про отключение доступов.
- Линкуем эту GPO к OU терминального сервера
- Добавляем машинный account TS в security list GPO
- Создаём для пользователей терминала свою группу, либо используем стандартную Remote Desktop Users, добавляем туда пользователей терминала, добавляем эту группу в security list GPO TS. Если оставить "Authentificated Users", то в терминал можно будет всем пользователям домена.
- Запрещаем применение GPO TS для администраторов (http://support.microsoft.com/?kbid=816100)
- Отбираем у пользователей терминала права Domain Users - сеть уже будет защищена, но этого не достаточно. Если отбираете Domain Users - нужно будет соответственно это учесть при настройке локальных прав NTFS на TS.
- Ещё дополнительное решение - скрываем серверы сети (http://support.microsoft.com/kb/321710). Тоже недостаточно.
- Ещё - все расшаренные ресурсы делаем скрытыми (http://go.microsoft.com/fwlink/?LinkId=18403)
- Вот зубодробительный метод - читаем KB246261 и отменяем включённый по умолчанию доступ ко всем ресурсам, кроме явно разрешённых. В сеть уже не пробьёшься. На деле метод не всегда применим, зависит от ролей сервера - читайте статью подробнее.
- Защита от хитрых пользователей, умеющих запускать программы через Word, меню и т.д. http://support.citrix.com/article/CTX991230&printable=true
- Маньячный уровень защиты см. How To Use ResHacker To Secure Your Terminal Server Environments
PavelKhvalov и SeT - всё, что вы описывали, можно реализовать, прочитав вышеприведённый материал, плюс:
- Locking Down Windows Server 2003 Terminal Server Sessions - самое серьёзное и полезное руководство по обеспечению безопасности TS
- Полное руководство по терминальным службам Windows Server 2003
- Securing Windows 2000 Terminal Services
- Windows Server 2003 Terminal Server Security
|
