Комментарии 37
А если сделать сертификат для компьютеров и делать аутентификацию компьютера по SSL/TLS? Тогда даже если и пароль пользователя в терминал будет скомпрометирован, то подключиться с компа о котором не знает сервер не получиться.
А этот функционал уже реализован в RPD 5.2.
А этот функционал уже реализован в RPD 5.2.
Реализовано было 1,5 года назад + лишние затраты на покупку RDP? вы же имели в виду RDP?
Плюс, если win «полетит» мой метод отнимет 2 минуты на настройку работы.
Плюс, если win «полетит» мой метод отнимет 2 минуты на настройку работы.
очепятка RPD = RDP это то же что и mstsc.exe, конечно же.
да, если вин полетит — конечно сложно будет.
Ещё есть openVPN там тоже происходит авторизация по ключу, но это для установление VPN соединения. Т.е. можно сделть такую логику. Если юзер подключился через VPN с использованием ключа выданного ему, то мы предполагаем, что юзер — это юзер и разрешаем всё остальное. без доп. заморочек.
Если у юзера стырили ключ, то мы ничего не можем с этим поделать, пока мы не знаем, что ключ скомпрометирован, единственное, если сидит где-то троян, то ключ для опенВПН найти легче, чем понять как же работает правильная авторизация в вашем случае и стырить ключ и софт.
да, если вин полетит — конечно сложно будет.
Ещё есть openVPN там тоже происходит авторизация по ключу, но это для установление VPN соединения. Т.е. можно сделть такую логику. Если юзер подключился через VPN с использованием ключа выданного ему, то мы предполагаем, что юзер — это юзер и разрешаем всё остальное. без доп. заморочек.
Если у юзера стырили ключ, то мы ничего не можем с этим поделать, пока мы не знаем, что ключ скомпрометирован, единственное, если сидит где-то троян, то ключ для опенВПН найти легче, чем понять как же работает правильная авторизация в вашем случае и стырить ключ и софт.
НЛО прилетело и опубликовало эту надпись здесь
На момент реализации о win7 и 2008 мечтали.
Уточните, как не опытный пользователь, например бухгалтеру, объяснить как использовать VPN и IPSec.
Как обеспечить поднятие новой рабочей станции без системного администратора, который все это настраивал и уже уехал из страны, — к примеру.
Интеграция этого метода было еще и для использования 1С на УК, т.е. она не только выполняет аутентификацию но и взаимодействует с 1С, но об этом детальнее рассказать, к сожалению не могу.
Уточните, как не опытный пользователь, например бухгалтеру, объяснить как использовать VPN и IPSec.
Как обеспечить поднятие новой рабочей станции без системного администратора, который все это настраивал и уже уехал из страны, — к примеру.
Интеграция этого метода было еще и для использования 1С на УК, т.е. она не только выполняет аутентификацию но и взаимодействует с 1С, но об этом детальнее рассказать, к сожалению не могу.
НЛО прилетело и опубликовало эту надпись здесь
Спасибо, согласен, решение красивое. Только каким образом можно разрешить доступ например Васе и Маше, а остальным запретить? Например, кто-то сядет за компьютер Маши и начнет им пользоваться — он же сможет зайти на УК?
Аргументируйте, чем это решение не надёжное?
Был проведен криптоанализ, анализ построенной системы по стандарту ISO/IEC 27001/2005.
И ни кто не мешает увеличить размер ключа.
Был проведен криптоанализ, анализ построенной системы по стандарту ISO/IEC 27001/2005.
И ни кто не мешает увеличить размер ключа.
Кстати, единственный минус этой системы — распределение ключей.
НЛО прилетело и опубликовало эту надпись здесь
Прочитайте, пожалуйста внимательно топик и комментарии, — нужно разрешить доступ человеку, а не компьютеру.
НЛО прилетело и опубликовало эту надпись здесь
Подскажите пожалуйста. Есть сервер терминалов на 2003 win. При подключении пользователей автоматически запускается 1С. Нужно как-то разграничить, чтобы доступ к терминалам у пользователей 1С был только из локальной сети (с инета чтоб они не смогли подключится), а у админа и с инета. Сейчас доступ есть у всех и с инета в том числе.
Разрешить группе пользователей только доступ по IP под их учётной записью. Тут я не помню, можно ли это сделать средствами самого 2003, а админу ограничение снять по IP.
«Разрешить группе пользователей только доступ по IP под их учётной записью» вот я и не могу разобраться как это сделать…
У вас поднят Прокси-сервер на сервере или фаервол?
Как вариант, использовать не стандартный порты для УРС:
Для сервера
Для пользователя
Из дома пользователи будут по-дефолтовому порту подключаться, а сервер будет ожидать на другом — подключиться не смогут.
Если есть фаервол — настроить правила на фаерволе.
Для сервера
Для пользователя
Из дома пользователи будут по-дефолтовому порту подключаться, а сервер будет ожидать на другом — подключиться не смогут.
Если есть фаервол — настроить правила на фаерволе.
то есть, я могу в брэндмауэре указать диапазон для 3389 только локальная сеть, а порт для админа использовать не стандартный? сервер терминалов будет два порта слушать? хотя все равно хотелось как-то по сложнее чтоб было…
В фаерволе можно указать, что доступ к серверу на порт, например 3389 разрешен с 12.12.12.12 и 11.11.11.*.
Я таким не занимался, что бы вам сказать что-то конкретное. Но что-то мне подсказывает, что сервер терминала будет слушать только один порт, хотя я и могу ошибаться.
Но я бы просто на фаерволе, не виндосовском, установил правила. Раньше у меня стоял Kerio WinRoute firewall на сервере и там я настроил под себя правила для доступа через терминал. но это уже было более 2х лет назад. Если же ничего нет на сервере из фаерволов, то вижу смену порта. Может есть и другие решения…
Терминальные службы Windows 2003может это вам еще пригодиться, там описан процесс использования терминалов с использованием лицензий
Я таким не занимался, что бы вам сказать что-то конкретное. Но что-то мне подсказывает, что сервер терминала будет слушать только один порт, хотя я и могу ошибаться.
Но я бы просто на фаерволе, не виндосовском, установил правила. Раньше у меня стоял Kerio WinRoute firewall на сервере и там я настроил под себя правила для доступа через терминал. но это уже было более 2х лет назад. Если же ничего нет на сервере из фаерволов, то вижу смену порта. Может есть и другие решения…
Терминальные службы Windows 2003может это вам еще пригодиться, там описан процесс использования терминалов с использованием лицензий
Два порта действительно слушать не будет. Вы правы. Проблема в том, что у админа айпи динамический, так что тут фаерволами не настроишь…
Тогда использование другого порта, или админу поставить RDP
С портом ясно. А что значить поставить RDP? Админ на данный момент может подключаться к серверу через инет посредством УРС. Но и все остальные пользователи УРС. А нужно чтобы пользователь могли только в локальной сети, а админ и через инет.
Немного не правильно сказал.
Смотрите, например, пользователям вы оставляете УРС на другом порте, и они через него работают, а для администратора использовать аналоги Remote Desktop.
Смотрите, например, пользователям вы оставляете УРС на другом порте, и они через него работают, а для администратора использовать аналоги Remote Desktop.
это что-то типа stunnel+rdp?
это просто дополнительная аутентификация
а, понял, здесь всё намного проще, чем мне показалось из названия статьи
что-то мне подсказывает, что такую защиту обойти не сложно, нужен лишь более-менее толковый программист
что-то мне подсказывает, что такую защиту обойти не сложно, нужен лишь более-менее толковый программист
Не правильно вам что-то подсказывает. Что именно сделает ваш толковый программист?
например: при подключении к удалённому рабочему столу можно на стороне клиента указать программу, которая будет выполнена при подключении. указать там что-нибуть вроде «taskkill /f /im try.exe»… вроде должно сработать
А кто будет знать как называется файл? Особенно, если он спрятан под svchost :)
Кстати, вы случайно не знаете, что первым выполняется: выполняется программа при подключении первая которая указана на сервере пользователю, или та, которая у пользователя стоит?
Кстати, вы случайно не знаете, что первым выполняется: выполняется программа при подключении первая которая указана на сервере пользователю, или та, которая у пользователя стоит?
>А кто будет знать как называется файл?
программист :)
>Кстати, вы случайно не знаете, что первым выполняется: выполняется программа при подключении первая которая указана на сервере пользователю, или та, которая у пользователя стоит?
только что провёл эксперимент — если задано со стороны сервера, клиентская настройка игнорируется.
программист :)
>Кстати, вы случайно не знаете, что первым выполняется: выполняется программа при подключении первая которая указана на сервере пользователю, или та, которая у пользователя стоит?
только что провёл эксперимент — если задано со стороны сервера, клиентская настройка игнорируется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Удалённый доступ между компьютерами на базе ОС Windows с использованием RSA-алгоритма аутентификации