Задача: Ограничить возможность копирования информации при удаленном подключении сотрудниками из вне к своим рабочим местам при использовании Remote Desktop Gateway
От учредителей поступила задача моему руководителю, чтобы сотрудниками при удаленном доступе было по минимуму затруднено копирование информации на личное рабочее место при удаленном подключении через текущее соединение.
Мой руководитель поинтересовался, возможно ли это и как сотрудники могу это сделать — мой ответ, да такое можно сделать, но по началу я предположил что это только единая настройка для всех. А после когда выдалась свободная минута при решении поставленной задачи, я создал две доменные группы и в одну выделил где отделу IT возможно все, а всем сотрудникам запрет.
В домене я создал две группы:
POLYGON\GRP_RDS_USERS_IT_External
POLYGON\GRP_RDS_USERS_External
Настраиваю политику авторизации для IT-отдела:
подключился к системе с ролью RD Gateway
на Windows Server 2012 R2 Std
с правами Domain Admins
запустил оснастку:
Win + X - Control Panel - View by: Category (на Small icons) - Administrative Tools - Remote Desktop Services - Remote Desktop Gateway Manager - RD Gateway Manager - srv-ts01-gate (local) - Policies - Connection Authorization Policies - Create New Policy (Custom)
вкладка General
Policy name: Allow external RDS group IT
Enable this policy: отмечаю галочкой
вкладка Requirements
Support Windows authentication methods: Password
User group membership: (required): Add Group - и добавляю GRP_RDS_USERS_IT_External
вкладка Device Redirection
Enable device redirection for all client devices: отмечаю
вкладка Timeouts
оставляю все по дефолту
и нажимаю Apply OK
Настраиваю политику авторизации для рядовых сотрудников компании:
подключился к системе с ролью RD Gateway
на Windows Server 2012 R2 Std
с правами Domain Admins
запустил оснастку
Win + X - Control Panel - View by: Category (на Small icons) - Administrative Tools - Remote Desktop Services - Remote Desktop Gateway Manager - RD Gateway Manager - srv-ts01-gate (local) - Policies - Connection Authorization Policies - Create New Policy (Custom)
вкладка General
Policy name: Allow external RDS group
Enable this policy: отмечаю галочкой
вкладка Requirements
Support Windows authentication methods: Password
User group membership: (required): Add Group - и добавляю GRP_RDS_USERS_External
вкладка Device Redirection
Disable device redirection for the following client device types: отмечаю
Drives: отмечаю
Clipboard: отмечаю
вкладка Timeouts
оставляю все по дефолту
и нажимаю Apply OK
Тем самым, только избранные и доверенные могут использовать все возможности удаленного подключения из вне. Для административных задач — это отдел IT.
ну а далее уже через Resourcce Autorization Policies
у меня настроено, что офисный сотрудник должен быть в группе GRP_RDS_WRKST_USERS
и он может подключаться только на свой компьютер для чего создана группа GRP_RDS_WRKST_COMPUTERS
куда у меня помещены все компьютеры компании.
Конечно правильнее создать политику авторизации под каждого пользователя, чтобы в случае чего, дальше рабочего места удаленных сотрудник или любой другой не мог попасть. Да, переделаю чуть погодя, но не забуду, т.к. это важно.
Кстати, как настраивается удаленный доступ через Remote Desktop Gateway
можно практически ознакомиться перейдя на мои заметки:
Итого я решил поставленную задачу учредителями на все 100%
. Ну а далее уже рабочие станции у меня находятся под защитой антивирусного решения базирующего на Eset Protect 8
. Чуть погодя, я задокумментирую весь процесс внедрения данного антивирусного решения.
Заметка практична и работоспособна, на этом всё, с уважением автор блога Олло Александр aka ekzorchik.