У нас есть сервер, на который мы хотим, чтобы наши пользователи могли удаленно подключаться к нему из офиса, но только -few- (администраторы) должны иметь возможность входить в систему из-за пределов офиса.
В настоящее время любой, кто может удаленно подключаться к рабочему столу, имеет возможность удаленного доступа извне офиса.
Есть ли способ ограничить разрешения удаленного рабочего стола по источнику входа?
Рассмотрите возможность расследования IPSec который, если я правильно понимаю, может использоваться для ограничения доступа на основе комбинации правил, включая расположение в сети, идентификатор клиентского компьютера (при условии, что он является членом домена) и учетные данные пользователя. Таким образом, теоретически вы можете настроить политику IPsec, разрешающую только администраторам на определенных компьютерах доступ к RDP из-за пределов офисной сети. Если вы используете групповые политики, вы можете легко применить правила к любым дополнительным серверам, которые хотите настроить таким же образом.
Мы используем сценарий входа в систему, чтобы проверить имя подключаемого компьютера, и если оно не соответствует списку, мы отклоняем подключение. Мы исключаем некоторых пользователей из этой проверки, чтобы они всегда могли подключиться, будь то в офисе или нет. Таким образом, вы просто добавляете строку для каждого офисного компьютера (или авторизованного компьютера) и добавляете строку для каждого пользователя, которого хотите исключить из проверки. Ниже приведен образец сценария:
ЕСЛИ% USERNAME% == joeschmoe GOTO OK
ЕСЛИ% USERNAME% == janedoe GOTO OK
ЕСЛИ% CLIENTNAME% == OfficeComputer1 GOTO OK
ЕСЛИ% CLIENTNAME% == OfficeComputer2 GOTO OK
ЕСЛИ% CLIENTNAME% == OfficeComputer3 GOTO OK
REM Следующее сообщение отображается на компьютерах, не авторизованных для подключения.
msg * Вы не авторизованы для входа из этого места. Вы выйдете из системы через 10 секунд.
спать 10 ВЫХОД
: ОК ВЫХОД
Настройте шлюз служб терминалов. Вы можете настроить политики того, к каким группам разрешен доступ. Разрешить удаленный доступ только через шлюз.
Не по разрешениям. Вы можете использовать брандмауэр ОС, чтобы запретить доступ ко всему внешнему IP-порту 3389 и разрешить только определенные внешние IP-адреса (если вы их знаете и они статические). Другой вариант - запретить все внешние IP-адреса на вашем основном FW, а затем разрешить RDP только в том случае, если они подключены к вашей сети через VPN.