Разрешать RDP-файлы от неизвестных издателей.
Добрый день, уважаемые.
Буду очень благодарен, если направите на верный путь. Имеем сервер терминалов на 2008 R2, который смотрит в мир и на котором крутится служба удаленных рабочих столов. Раньше, еще со времен Win2K я RDP заворачивал в VPN и чувствовал себя спокойно. Сейчас RDP стал более безопасным и от лишнего геморроя в виде VPN хочется избавиться. Итак, начал я с того, что настроил шлюз удаленных рабочих столов. Все бы хорошо, соединение шифруется, красота. Но мне не понравились два момента: 1. Нельзя перенастроить порт - только 443 (это вроде пофиксили в 2012-м, но у нас 2008-й.) 2. Подключиться к серверу можно из любого места, что теоретически допускает брутфорс. Тогда я прочитал про подписанные файлы RDP (вообще, все мануалы пишут про RemoteApp, но к удаленным рабочим столам это вроде как тоже применимо). Итак: Создаю на сервере самозаверенный сертификат. Читаю его хеш, а затем с помощью этого хеша на клиенте подписываю рдп-файл: Код:
signrdp /sha1 <hash> file.rdp Код:
Конфигурация компьютера / Адм. шаблоны / Компоненты Windows / Службы уд. раб. столов / Клиент подключения к уд. раб. столу После чего надеюсь, что клиенты с неподписанными рдп-файлами подключиться не смогут. Но они, подлецы, подключаются. Подскажите, что я делаю не так? Большое спасибо за внимание. |
Цитата:
Цитата:
|
Благодарю за ответ!
Вариант с фаерволом не пройдет, т.к. клиенты подключаются из интернета и у них нет статических адресов. А на счет политики - теперь понятно, почему не работало. Окей, как я понял, другого механизма авторизации, например по ключам, не предусмотрено? |
Цитата:
|
Гранд мерси за помощь! Всяческих Вам успехов.
Тему закрываем. |
Время: 21:29. |
Время: 21:29.
© OSzone.net 2001-