В настоящее время у нас есть сервер SBS и сервер терминалов (оба 2008R2), на которых пользователи локально и удаленно заходят на сервер терминалов и работают.
Нам нужно ограничить возможность входа в систему удаленно только нескольким пользователям.
Есть ли способ ограничить это? ранее мы видели (в другой организации), что «запрошенный доступ к сеансу запрещен», когда пользователь пытается удаленно войти в систему, хотя теперь у них есть доступ.
Кто-нибудь знает, как это воссоздать? Шлюз TS и изменение портов RDP, к сожалению, в данном случае невозможны.
Спасибо,
Закройте порты RDP на своем первом компьютере и пусть те немногие пользователи, которым это нужно, подключатся через VPN.
Из-за того, что в наши дни на серверах RDP работает количество ботов, я нервничаю, в первую очередь, из-за того, что они выставлены в Интернете. Даже если у всех ваших пользователей есть отличные пароли, злоумышленники все равно могут переполнить журналы или активировать политики блокировки. Таким образом, это одновременно устраняет и проблемы безопасности. Помогает размещение его за шлюзом TS или VPN.
Время творческого решения: попросите пользователей войти на веб-страницу, которая временно добавляет IP-адрес их устройства в список исключений брандмауэра, прежде чем использовать RDP. Любые пользователи, которые сначала не войдут в систему, не смогут получить доступ к RDP извне. Возможно, даже включите собственный вариант TTL для пользователей, которые знают, как долго им потребуется соединение. Вы можете включить ведение журнала, чтобы иметь возможность включить метод удаления всех исключений, созданных X, в случае, если это когда-либо понадобится.
Вы даже можете потребовать клиентские сертификаты для аутентификации на сервере и раздать ключи каждому пользователю для добавления на свои устройства для дополнительной безопасности.
Из-за вашего бюджета создайте правило брандмауэра на своем маршрутизаторе, чтобы разрешать только трафик 3389, поступающий с IP-адреса WAN этого рабочего. SOHO не может этого сделать, вам нужен маршрутизатор для входа в бизнес, а это означает статический IP-адрес для них.