Назад | Перейти на главную страницу

удаленный доступ - ограничить доступные учетные записи пользователей в зависимости от клиента

Я нахожу бесконечные ресурсы в Интернете, хорошо объясняющие, как ограничить доступ к компьютеру в зависимости от того, кто пытается войти в систему. Это не позволяет контролировать, какая учетная запись будет использоваться для входа на локальный компьютер и что на нем делается. Этот факт вызывает некоторые опасения по поводу безопасности.
Ситуация такова, что у нас есть программное обеспечение на IPC (Industrial PC), которое позволяет только мониторинг, но также и сервисное программное обеспечение, которое позволяет изменять доступность поставляемого оборудования. Поскольку в настоящее время мы не можем гарантировать, что используется только определенная учетная запись или приложение, поскольку мы должны входить в систему через предоставленный клиентом портал удаленного доступа / терминальный сервер, мы должны подавать заявку на разрешение на работу каждый раз, когда мы хотим контролировать систему, даже для передачи только данных регистратора. Установка другого IPC невозможна, поскольку эта конкретная машина находится за пределами США, поэтому мы хотели бы решить эту проблему с помощью программного обеспечения.

Вот что нам нравится осознавать:

  1. Местный читать и записывать учетная запись пользователя на IPC
    Некоторые учетные записи позволяют использовать только только чтение программное обеспечение, такое как программное обеспечение для мониторинга. Другие учетные записи позволяют использовать больше функционального программного обеспечения, вплоть до пакетов, которые могут выключить оборудование.
    По нашему мнению, использование разных учетных записей является наиболее практичным способом, в противном случае локальное стороннее программное обеспечение должно устанавливать разрешение в соответствии с политиками Windows.

  2. Контролируйте, какие учетные записи можно использовать
    Какая локальная учетная запись пользователя (или активная настройка политики) зависит только от того, откуда исходит запрос удаленного доступа.

  3. Сервер управления локальным доступом
    В настоящее время нет центрального контроллера AD и т. Д., Но при необходимости может быть главный сервер доступа, например Сервер шлюза удаленных рабочих столов или BOMGAR Привилегированный доступ управлять разрешением доступа

  4. изолированная операция
    Наши устройства находятся в изолированной сети, которая находится за сетью клиентов. По сути, самый сложный момент - это распознать, кто запрашивает доступ к нашей изолированной сети. Пока что мы пришли к этим идеям:

    1. клиентская сеть сообщает нашей сети, какая учетная запись используется, но это требует индивидуального разъяснения связи.
    2. наша сеть считывает IP-адрес клиента и решает, будет ли это доступ для чтения или записи. Клиент должен быть уверен, что к нашей сети имеют доступ как минимум две разные машины. Один предназначен для учетных записей с постоянным / чтением, а другие - для учетных записей с повышенными правами, что может потребовать дополнительного утверждения доступа со стороны клиента.
    3. Если вы не можете предотвратить вход в систему в качестве администратора на главном сервере, учетная запись администратора должна управляться клиентом.

Ближайшее решение, которое я нашел до сих пор, - это вопрос о суперпользователе: Использование TeamViewer для входа только в одну учетную запись пользователя но все еще далек от наших требований.

Я создаю рисунок, показывающий все это, надеюсь, что это поможет