Назад | Перейти на главную страницу

Как защитить ферму серверов удаленных приложений, чтобы запретить пользователям запускать неопубликованные приложения?

Недавно мы развернули и протестировали рабочую конфигурацию RemoteApps на основе служб узла сеансов удаленных рабочих столов и шлюза удаленных рабочих столов MS Windows Server 2012R2, которые предназначены для того, чтобы позволить определенным пользователям запускать определенные приложения на ферме серверов, хранить свои данные локально или ферма серверов в совместно используемом (на уровне фермы) сетевом ресурсе в качестве перемещаемого профиля, но столкнулась с проблемой: например, если у пользователя есть права только на запуск Microsoft Word, он может довольно легко запустить командную строку (как он сам, конечно), перемещаясь по дереву файловой системы в меню File-Open, после этого он может запустить приложение, которое не было опубликовано для него с RDS в целом (без прав через RDS Web Access). Мы хотим, чтобы пользователи не могли этого делать, но позволяли просматривать, по крайней мере, их собственный (перемещаемый) профиль и подключенные удаленные диски. Что мы должны сделать, чтобы пользователь мог запускать только то, на что он имеет право, и не запускал ничего, кроме публикации через веб-доступ к удаленному рабочему столу?

Решение, которое я выбрал, заключалось в реализации детализированной политики AppLocker, нацеленной на серверы RDSH, которая позволяла достаточному количеству программ для пользователей RemoteApp инициализировать среду RDS, а затем выборочно разрешать программное обеспечение из программных файлов на основе любого приложения, опубликованного на шлюзе удаленных рабочих столов, для тех же групповых сущностей, которые иметь доступ через шлюз удаленных рабочих столов. Готовых решений пока нет.