Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Разрешать RDP-файлы от неизвестных издателей.

Ответить
Настройки темы
2008 R2 - [решено] Разрешать RDP-файлы от неизвестных издателей.

Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать

Добрый день, уважаемые.
Буду очень благодарен, если направите на верный путь.

Имеем сервер терминалов на 2008 R2, который смотрит в мир и на котором крутится служба удаленных рабочих столов.
Раньше, еще со времен Win2K я RDP заворачивал в VPN и чувствовал себя спокойно. Сейчас RDP стал более безопасным и от лишнего геморроя в виде VPN хочется избавиться.

Итак, начал я с того, что настроил шлюз удаленных рабочих столов. Все бы хорошо, соединение шифруется, красота.
Но мне не понравились два момента:
1. Нельзя перенастроить порт - только 443 (это вроде пофиксили в 2012-м, но у нас 2008-й.)
2. Подключиться к серверу можно из любого места, что теоретически допускает брутфорс.

Тогда я прочитал про подписанные файлы RDP (вообще, все мануалы пишут про RemoteApp, но к удаленным рабочим столам это вроде как тоже применимо).

Итак:
Создаю на сервере самозаверенный сертификат. Читаю его хеш, а затем с помощью этого хеша на клиенте подписываю рдп-файл:
Код: Выделить весь код
signrdp /sha1 <hash> file.rdp
Далее, на сервере иду в политики:
Код: Выделить весь код
Конфигурация компьютера / Адм. шаблоны / Компоненты Windows / Службы уд. раб. столов / Клиент подключения к уд. раб. столу
и отключаю политику "Разрешать RDP-файлы от неизвестных издателей".
После чего надеюсь, что клиенты с неподписанными рдп-файлами подключиться не смогут. Но они, подлецы, подключаются.

Подскажите, что я делаю не так?
Большое спасибо за внимание.

Отправлено: 19:19, 16-02-2016

 

Ветеран


Сообщения: 567
Благодарности: 146

Профиль | Отправить PM | Цитировать

Цитата spamtrapper:
Клиент подключения к уд. раб. столу »
Это политика для клиента, ее нужно применять на машины С которых подключаются пользователи.

Цитата spamtrapper:
Подключиться к серверу можно из любого места, что теоретически допускает брутфорс. »
Легко можете решить ограничивающим правилом на стандартном фаерволе. Создайте блокирующее правило для 443 порта, и укажите IP к которым оно применяется (например разрешить доступ для IP 1.2.3.5), не забудьте также добавить IPv6 или отключить его.

-------
MCSA:Windows Server 2012, MCSE:Messaging, MCSE:Communication, VCP5:Datacenter Virtualization, CCENT
Ит блог, бесплатные курсы по администрированию

Это сообщение посчитали полезным следующие участники:

Отправлено: 14:14, 17-02-2016 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать

Благодарю за ответ!
Вариант с фаерволом не пройдет, т.к. клиенты подключаются из интернета и у них нет статических адресов.
А на счет политики - теперь понятно, почему не работало.
Окей, как я понял, другого механизма авторизации, например по ключам, не предусмотрено?

Отправлено: 15:20, 17-02-2016 | #3


Ветеран


Сообщения: 567
Благодарности: 146

Профиль | Отправить PM | Цитировать

Цитата spamtrapper:
Окей, как я понял, другого механизма авторизации, например по ключам, не предусмотрено? »
Только если прикручивать сторонние решения.

-------
MCSA:Windows Server 2012, MCSE:Messaging, MCSE:Communication, VCP5:Datacenter Virtualization, CCENT
Ит блог, бесплатные курсы по администрированию

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:43, 17-02-2016 | #4


Новый участник


Сообщения: 3
Благодарности: 0

Профиль | Отправить PM | Цитировать

Гранд мерси за помощь! Всяческих Вам успехов.
Тему закрываем.

Отправлено: 16:02, 17-02-2016 | #5



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Разрешать RDP-файлы от неизвестных издателей.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Безопасность - Брандмауэр Разрешать адреса в имена хостов Discount Программное обеспечение Windows 1 06-03-2015 17:13
2007 - [решено] Действия с сертификатом надежных издателей после окончания его срока gkivi Microsoft Office (Word, Excel, Outlook и т.д.) 2 19-09-2012 11:07
2008 R2 - Windows Vista и Windows Server 2003 не принимают rdp-файлы от Windows Server 2008 R2 ZOOBR Windows Server 2008/2008 R2 6 03-11-2010 15:27
Разное - Удаляются файлы при обращении по RDP Ment69 Microsoft Windows 7 3 10-09-2009 11:54
Доступ - Терминальный доступ (файлы *.RDP) Sv_FeniX Microsoft Windows Vista 4 31-03-2009 11:40


« Предыдущая тема | Следующая тема »


 
Переход