Назад | Перейти на главную страницу

Недоверенные пользователи терминальных служб

Мы рассматриваем возможность предоставить нашим> 10 поставщикам (в основном из Китая) возможность вводить / редактировать / просматривать данные через единый интерфейс. Предпочтительный способ - использовать то же приложение .NET / MSSQL на базе Windows, которое используется для внутренних целей.

Поскольку приложению требуется прямое подключение к базе данных, моя идея состоит в том, чтобы предоставить всем поставщикам доступ к серверу на нашем сайте через службы терминалов. Но есть опасения по поводу безопасности этого подхода, так что текущий план состоит в том, чтобы разработать веб-интерфейс для приложения (дорого) или продолжить использовать excel / txt / word / pdf для отправки данных (ну ...).

В глубокий подробно, мой подход будет состоять из:

внешний сервер

Windows Server 2003, SQL Server 2005, приложение

внутренний сервер

Поскольку я использую аналогичный подход в своем отделе (веб-сервисы вместо терминальных), у меня нет возражений против настройки. Единственная возможная атака, которая меня беспокоит, - это нарушение самого приложения, которое может привести к компрометации данных приложения (для всех поставщиков).

Тем не менее, поскольку мне нужно убедить группу людей, которые отдают предпочтение подходу Excel, я хотел бы услышать ваши мысли.

Большое спасибо.

К сожалению, вы используете Server 2003, поскольку в этом сценарии возможности RemoteApp в Server 2008 отлично вам пригодятся. Однако то, что у вас там есть, должно в значительной степени прикрывать это с точки зрения безопасности.

Раньше у нас был TS с ненадежными пользователями, и настройка была аналогичной. Используя GPO, мы заблокировали учетные записи, чтобы удалить все - в их меню «Пуск» было только «выйти из системы», все на экране безопасности Windows было отключено (кроме изменения пароля и выхода из системы), если им удавалось запустить экран просмотра, доступ ко всем локальным дискам был отключен, и они были члены группы с ограниченным доступом, которым фактически был запрещен доступ к сетевым ресурсам. Черт, мы даже отключили возможность щелкнуть правой кнопкой мыши на их рабочем столе. Мы также отключили возможность сопоставлять клиентские устройства с терминальными службами вместе с командной строкой и всем остальным.

По сути, мы прошли через GPO и отключили каждую функцию пользовательского интерфейса, которую смогли обнаружить. У нас действительно были проблемы с отключением проводника, но если вы можете принудительно запускать одну программу при запуске, не стесняйтесь отключать и его.

Пара вещей, о которых вы, возможно, не подумали:

  • Я бы не стал менять порт. Это просто безопасность через безвестность, и тогда это заноза в заднице каждый раз, когда вам нужно кому-то зачитать адрес TS.
  • Включить шифрование, совместимое с FIPS, при подключении
  • Если бы это был Server 2008, я бы принудительно использовал аутентификацию на уровне сети.

На самом деле, если бы вы могли, я бы сильно предлагаю перейти на 2008 R2, если это вообще возможно, так как в нем есть еще больше функций безопасности для терминальных служб (или RDS, как он теперь называется)