Блокировка служб терминалов Windows

Опубликовано: 24 Апреля, 2023

Введение

Не существует волшебной палочки, которая могла бы заблокировать ваши терминальные серверы Windows, но есть множество встроенных инструментов, предоставляемых Microsoft, которые неплохо справляются со своей задачей. Когда встроенные инструменты не подходят или недостаточны, существует множество бесплатных и коммерческих утилит сторонних производителей, которые сделают эту работу.

Встроенные инструменты, настройки и тактика блокировки

Первое, что можно сделать для защиты терминального сервера от преднамеренного или непреднамеренного вмешательства, — это ограничить количество учетных записей пользователей, входящих в группу безопасности локальных администраторов. Если пользователь является членом этой группы, абсолютно ничего нельзя сделать, чтобы помешать этому человеку изменить конфигурацию системы. Если есть пользователи с правами администратора, которые используют серверы терминалов помимо обслуживания системы, рекомендуется, чтобы они выполняли свою обычную работу с неадминистративной учетной записью и входили в систему как администратор или использовали runas cmd для выполнения задач, требующих административных прав или разрешений..

Соответствующее назначение разрешений NTFS является важным этапом настройки, к счастью, настройки по умолчанию в Windows Server 2003 достаточно надежны. Если вы используете Windows 2000 Server или хотите провести аудит разрешений NTFS на сервере терминалов Windows Server 2003, следующие настройки я бы начал с «новой сборки системы»:

%SystemDrive% — аутентифицированные пользователи = «Чтение и выполнение»

%SystemDrive% — Администраторы = «Полный доступ»

%SystemDrive% — Система = «Полный доступ»

%SystemDrive% — владелец-создатель = «Полный доступ»

%ProgramFiles% — Аутентифицированные пользователи = «Чтение и выполнение»

%ProgramFiles% — Администраторы = «Полный доступ»

%ProgramFiles% — Система = «Полный доступ»

%ProgramFiles% — владелец-создатель = «Полный доступ»

Я НЕ могу не подчеркнуть, что внесение общесистемных изменений в разрешения NTFS в производственной системе, скорее всего, приведет к непреднамеренным побочным эффектам, таким как нестабильность системы и неработоспособные программы. Начните с чистой установки системы, заблокируйте файловую систему и ослабьте разрешения для каждого файла или каталога, когда это необходимо, чтобы разрешить работу определенного приложения, когда оно выполняется ограниченной учетной записью пользователя.

Ограничение доступа к приложениям с разрешениями NTFS очень эффективно, но только если вы знаете, каким приложениям вы хотите запретить доступ. Так получилось, что ограничить доступ к приложениям или файлам через списки ACL NTFS очень просто: просто измените ACL так, чтобы учетная запись пользователя или группа, членом которой является учетная запись, не отображались в ACL. Если группу безопасности нельзя удалить, можно один раз создать новую группу, добавить определенных пользователей в группу и ЗАПРЕТИТЬ разрешение на чтение для группы в ACL файла или каталога.

В системном реестре есть списки контроля доступа, аналогичные файловой системе NTFS. Можно запретить пользователям или группам читать или изменять определенные ключи или записи в реестре Windows. НЕ просматривайте реестр Windows, слепо внося изменения, которые, по вашему мнению, заблокируют вашу систему. Это, скорее всего, приведет к неправильной работе системы. Сделайте резервную копию реестра, прежде чем вносить какие-либо изменения.

Служба сервера терминалов имеет собственные параметры безопасности, влияющие на стабильность системы. Эти параметры можно найти в средстве администрирования конфигурации сервера терминалов (tscc.msc), а некоторые из них также находятся в групповой политике в разделе «Конфигурация компьютера» -> «Административные шаблоны» -> «Компоненты Windows» -> «Службы терминалов». Наиболее важной из всех настроек в tscc.msc является совместимость разрешений, которая всегда должна быть установлена на «Полная безопасность» (Windows Server 2003) или на «Пользователи Windows 2000» (Windows 2000 Server). Если вы используете «Разрешения, совместимые с пользователями Terminal Server 4.0» (Windows 2000 Server) или «Расслабленную безопасность» (Windows Server 2003), каждый пользователь, входящий в систему, добавляется в группу безопасности TSUser, которая имеет разрешения и права опытных пользователей. Группа.

Групповая политика — очень эффективный метод ограничения доступа к файлам, реестру Windows, функциям приложений и операционной системы. Одна фундаментальная проблема, связанная с использованием групповой политики как единственного метода блокировки системы, заключается в том, что обычно существует более одного способа выполнения любой задачи в ОС или приложении Windows. Использование политики замыкания на себя для блокировки сервера терминалов Windows является стандартным шагом настройки в любое время, когда у вас есть доступ для создания объектов групповой политики и управления Active Directory. Вы можете обратиться к моей предыдущей статье, чтобы настроить политику замыкания на себя, но следующие параметры особенно полезны при блокировке сервера терминалов:

  1. Включите «Удалить кэшированные копии перемещаемых профилей». Поскольку перемещаемый профиль не распространяет временный каталог пользователя, включение этой политики обычно приводит к удалению всего, что пользователь скачал непреднамеренно. Эта политика удаляет локальный профиль пользователя при выходе из системы после его успешной выгрузки и копирования в перемещаемое расположение.
  2. Включите «Очищать кэш временных файлов Интернета при закрытии браузера». Это уменьшит объем хранилища, необходимый для локальных профилей, и удалит многие установщики шпионских программ, которые были непреднамеренно загружены конечным пользователем.
  3. Скрыть эти конкретные диски в «Моем компьютере»
  4. Запретить доступ к этим дискам с моего компьютера

Установите службу очистки куста профилей пользователей, которая обеспечивает полное завершение пользовательских сеансов при выходе пользователя из системы. Без этой службы профили пользователей часто не выгружаются успешно, что приводит к сбою копирования в местоположение перемещаемого профиля и настройке DeleteRoamingCache.

Определите и применяйте политику надежных паролей. Это несложно, но без надежной политики паролей ваша система может быть легко скомпрометирована.

Бесплатные утилиты блокировки

Фабрис Корнет из FCConsult.be предоставляет превосходную утилиту блокировки системы, управляемую базой данных, которая называется BrsSuite.

2X Software Ltd. предлагает бесплатный продукт под названием SecureRDP, который может фильтровать соединения по версии RDP-клиента, MAC-адресу…

Login Consultants, NL поддерживает утилиту под названием Flex Profile Kit, которая применяет настройки из файла OPS (настройка профиля Office) к обязательному профилю пользователя.

Коммерческие сторонние программы

Appsense Application Manager предназначен для ограничения доступа к авторизованным приложениям, блокировки шпионских программ, вредоносных программ, троянов… Application Manager является частью Appsense Management Suite.

Appsense Environment Manager — это утилита для блокировки рабочего стола, входящая в состав Appsense Management Suite.

Provision Networks Block-IT — это продукт управления доступом к приложениям и хосту, который является модулем Provision Virtual Access Suite.

Provision Networks Manage-IT — это продукт с графическим интерфейсом, который позволяет администраторам, не имеющим доступа, использовать групповую политику для блокировки настроек профиля пользователя. Manage-IT также является модулем Provision Virtual Access Suite.

RES Powerfuse — это решение для управления рабочим пространством, которое позволяет администраторам оптимизировать, настраивать, защищать и контролировать среду конечного пользователя.

TriCerat Simplify Lockdown предлагает замену оболочки для explorer.exe и утилиту с графическим интерфейсом для блокировки операционной среды пользователя.

Пограничная безопасность

Чтобы обеспечить наиболее безопасный удаленный доступ, держите терминальные серверы в частной сети за брандмауэром и получайте доступ к этим машинам через обратный прокси-сервер или SSL VPN-устройство, размещенное в демилитаризованной зоне. В этих конфигурациях пользователи не взаимодействуют напрямую ни с одним из терминальных серверов, что обеспечивает дополнительный уровень безопасности. Обычно используемые продукты, подходящие для этой категории:

  • 2X LoadBalancer
  • Платформа безопасности AEP Networks Netilla
  • Citrix Access Gateway и расширенный контроль доступа
  • Citrix Presentation Server с Citrix Secure Gateway 3.0
  • Предоставление дополнительных сетевых услуг с помощью SSL-шлюза Secure-IT

Стоит отметить, что следующий выпуск Windows Server, Windows Server 2008, включает в себя шлюз сервера терминалов SSL, который работает почти так же, как функция RPC Exchange Server через HTTPS.

Резюме

Windows поставляется со многими встроенными инструментами и настройками для защиты серверов терминалов Windows, но какие из них вы можете использовать, зависит от вашей организационной структуры и опыта работы с каждым инструментом. Если вы не можете или не хотите пользоваться одним или всеми инструментами Microsoft, существует множество компаний, предлагающих отточенные решения для блокировки, и даже некоторые из них предлагают очень хорошие бесплатные утилиты.

использованная литература

Как заблокировать сеанс Windows Server 2003 или Windows 2000 Terminal Server

Справочник по параметрам групповой политики

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023