Защита доступа к вашим приложениям
Введение
На сервере терминалов многие приложения устанавливаются на одном сервере. Вероятно, на сервере доступно больше приложений, чем требуется одному пользователю. Из-за проблем с лицензией и конфиденциальности данных компании хотели бы гарантировать, что пользователи используют только те приложения, которые им необходимы для повседневной работы. В этой статье я хотел бы описать, как можно защитить доступ к вашим приложениям в инфраструктуре сервера терминалов.
Не требуется при использовании опубликованных приложений
Поскольку я использую опубликованные приложения в своей среде, защита доступа к приложениям не требуется. Пользователи могут запускать Опубликованные приложения, только если им предоставлен доступ к этому Опубликованному приложению. Конечно, назначение пользователей или (что еще лучше) групп для опубликованного приложения — это первый шаг к обеспечению безопасности доступа к вашим приложениям, но этого недостаточно, чтобы гарантировать, что пользователи не смогут запускать другие приложения. Многие приложения имеют какой-то черный ход, который позволяет запускать другие приложения. Конечно, при использовании опубликованных приложений не все предложения нужны, но вы, безусловно, должны добавить больше безопасности, чем только параметр доступа в свойствах опубликованного приложения.
Скрытие серверных дисков
Первый логический шаг — скрыть драйвер сервера от конечного пользователя. Хотя этот параметр является одним из основных шагов, все еще существует множество ферм серверов терминалов, где пользователи могут видеть драйверы в своем проводнике. Лучший способ сделать это — использовать объекты групповой политики. В разделе «Конфигурация пользователя » — « Административные шаблоны » — «Компоненты Windows » — «Проводник Windows» можно найти два параметра: «Скрыть указанные диски в «Моем компьютере» и «Запретить доступ к дискам с моего компьютера». В конфигурации этих двух параметров по умолчанию вы можете скрыть все диски и несколько локальных дисков с буквами дисков от A до D.
Рисунок 1. Запрет доступа к дискам
Если на вашем сервере есть переназначенные диски, вам следует создать собственный настраиваемый шаблон ADM.
Ниже вы увидите пример того, как создать этот собственный шаблон ADM. Скрытие осуществляется с помощью числового значения. Поэтому, если вы хотите создать шаблон с указанными вами дисками, это значение следует рассчитать, как описано в статье Бесплатные инструменты для инфраструктуры терминального сервера, часть 2.
ПОЛИТИКА «Скрыть указанные диски в Моем компьютере» |
Рис. 2. Пользовательский шаблон ADM для скрытия дисков
Права NTFS
С включенной опцией скрытия диска пользователи не могут просматривать исполняемые файлы, но по-прежнему существует несколько способов запуска приложения. Самый эффективный способ предотвратить такое поведение — защитить доступ к приложениям с правами NTFS.
Это можно сделать на уровне папки или файла. Обычно я использую безопасность только на уровне файлов, на тот случай, если у приложения есть общая DLL (особенно для приложений с большим количеством программ в одной папке) с другим приложением. В исполняемом файле удалите группу аутентифицированных пользователей и добавьте группу, в которой указаны пользователи, которым разрешено запускать приложение.
Рис. 3. Права NTFS на Adobe Acrobat Reader 7
Конечно, добавление этих настроек вручную — не лучший способ сохранить одинаковые серверы (как описано в разделе «Среды терминальных серверов»). Поэтому при создании пакета приложения вы также должны добавить строку сценария, которая изменяет права безопасности по умолчанию.
С помощью xcacls это можно очень легко написать в сценарии. Например, для выполнения рисунка 3 синтаксис будет таким:
Дополнительную информацию о XCACLS можно найти на сайте поддержки Microsoft.
Этот параметр разрешения безопасности разрешает доступ к вашим приложениям только авторизованным пользователям. Однако вы также должны запретить пользователям просматривать приложения, если они не авторизованы для этих приложений.
Создание персонализированного стартового меню
Если вы предлагаете своим конечным пользователям полный рабочий стол, вы можете создать персонализированное меню «Пуск» для каждого пользователя на основе назначенных приложений для каждого пользователя. Этого можно добиться с помощью простой структуры папок и (опять же) прав NTFS.
В общем файле создайте структуру, основанную на том, как вы хотите, чтобы меню «Пуск» было видно вашим конечным пользователям. Добавьте все ярлыки приложений в эту структуру. Чтобы ярлыки не указывали на один компьютер (отслеживание ссылок), вы можете использовать инструмент ярлык.exe для удаления такой информации из файла ярлыка. Shortcut.exe — это инструмент Microsoft Resource Kit, который можно загрузить отсюда. Во время первоначальной регистрации вы также можете использовать программу scut.exe, которая может использовать подстановочные знаки.
Затем вы должны убедиться, что структура копируется в сеанс пользователя во время входа в систему. Лучший способ организовать это — использовать обязательный профиль (или не добавлять меню «Пуск» в перемещаемый профиль) без ярлыков приложений в папке меню «Пуск».
Используя, например, сценарий входа в систему, вы должны добавить строку сценария, которая копирует содержимое только что созданной структуры меню «Пуск» в профиль пользователя.
Чтобы гарантировать, что не все ярлыки будут скопированы, мы собираемся использовать права NTFS и назначать разрешения на чтение группе приложений для ярлыков. В нашем предыдущем примере выше мы предоставим права на чтение группе APPL_LG_AdobeReader7 ярлыку Adobe Reader. Конечно, все или группы, прошедшие проверку подлинности, должны быть удалены из разрешений безопасности. Таким образом, копируются только те ярлыки приложений, к которым у пользователей есть доступ.
Поскольку копирование небольших файлов по сети происходит относительно медленно, вы можете создать механизм, при котором источник также будет локально доступен на сервере. Вы также можете создать сценарий для каждого приложения, который копирует ярлыки для этого конкретного приложения.
Отправить / Создать новый
Есть несколько приложений, которые добавляют ярлык к опции «Отправить» и/или к новой опции в меню проводника, когда вы щелкаете правой кнопкой мыши. По логике, в обоих меню должны отображаться только ярлыки для приложений, которые разрешено использовать каждому пользователю.
При упаковке приложений следует контролировать создание этих ярлыков. Если создание ярлыка нежелательно, его следует удалить из пакета. Ярлыки отправки сохраняются в папке %userprofile%Send To. Ярлык нового объекта создается с помощью ключа [HKCR].<файловая ассоциация>ShellNew. При удалении ключа ShellNew ярлык больше не публикуется в меню проводника.
Ассоциации файлов
При использовании разрешений NTFS пользователи не получают никаких предупреждений, если они обращаются к одному из исполняемых файлов, на доступ к которым у них нет прав. Таким образом, пользователи могут немного запутаться при использовании ассоциаций файлов для открытия файла. Мой совет: проверьте ваши текущие ассоциации файлов и, при необходимости, измените ассоциации на приложения, которые разрешено использовать всем. Если необходимы изменения, вы должны написать сценарий изменения ассоциаций файлов.
Программные решения
Доступны несколько продуктов управления для предотвращения доступа к приложениям. Powerfuse, Appsense, Tricerat и Provision Framework позволяют создавать персональное меню «Пуск» для каждого пользователя и запрещать доступ к локальным дискам.
Также все вышеперечисленные продукты могут блокировать несанкционированный доступ к приложениям несколькими способами. Подробнее об этих продуктах читайте в обзорах на моем сайте.
Также политики ограниченного использования программ Microsoft могут назначать доступ к исполняемым файлам приложений.
Вывод
Из соображений лицензирования, конфиденциальной информации или злоупотребления приложениями доступ к приложениям должен быть защищен таким образом, чтобы только назначенные пользователи могли использовать конкретное приложение. В этой статье я описал, как это можно устроить с помощью разрешений NTFS. Во-вторых, мы настроили пользовательскую среду таким образом, что они также не могут видеть это приложение. Упоминаются некоторые программные приложения, которые также могут выполнять то же самое.