Comments 8
А почему не использовать 2-х факторную аутентификацию? Там брутфорс исключается ведь. Нет?
UFO just landed and posted this here
А что имеется в виду под «без наличия RD Gateway»? Для него не нужно никаких лицензий дополнительно и, если с серверами всё совсем плохо, его можно ставить даже на сам терминальный сервер. Зачем костыли?
затем что rd gateway тащит за собой кучу абсолютно ненужного барахла и в конечном итоге усложняет систему.
Я не осилил замысла Microsoft в этом направлении. С одной стороны всё правильно, но «чем дальше в лес, тем толще партизаны». Настроил, поигрался и вынес вперед тапками.
Microsoft вообще ребята неоднозначные. Одно только включение клиента WebDAV на 2008R2 через «Desktop Expirience» чего стоит. Но даже после включения клиента WebDAV оно без напильника не заводится. Или танцы с удалённой печатью, тут печатаем тут нет. Система и без того получается нагружена групповыми политиками, стартап скриптами и правилами AppLocker, и грузить её еще RD Gateway с сервером политик как-то некомильфо.
Я не осилил замысла Microsoft в этом направлении. С одной стороны всё правильно, но «чем дальше в лес, тем толще партизаны». Настроил, поигрался и вынес вперед тапками.
Microsoft вообще ребята неоднозначные. Одно только включение клиента WebDAV на 2008R2 через «Desktop Expirience» чего стоит. Но даже после включения клиента WebDAV оно без напильника не заводится. Или танцы с удалённой печатью, тут печатаем тут нет. Система и без того получается нагружена групповыми политиками, стартап скриптами и правилами AppLocker, и грузить её еще RD Gateway с сервером политик как-то некомильфо.
Есть еще один «необычный» вариант, как убрать порт TCP/3389 в связке с RemoteAPP, но в то же время не ломать работу всего сервиса:
Первое описано тут: how-to-add-multiple-rdc-listening-ports.
Второе делается на RemoteAPP сервере в PowerShell:
И все будет хорошо — по крайней мере от ботов автоматизированных избавитесь.
- Заставить терминальную службу сервера слушать, помимо TCP/3389, еще другой порт — например TCP/55111
- В настройки коллекции в RemoteApp внести этот порт в дополнительные опции — тогда .rdp файлы, которые будет генерировать RemoteApp и отдавать клиенту, будут автоматом содержать нужный порт
Первое описано тут: how-to-add-multiple-rdc-listening-ports.
Второе делается на RemoteAPP сервере в PowerShell:
Set-RDSessionCollectionConfiguration –CollectionName QuickSessionCollection –CustomRdpProperty “serverport:i:55111”
И все будет хорошо — по крайней мере от ботов автоматизированных избавитесь.
Sign up to leave a comment.
Повышение безопасности сервера RemoteApp