D.D.D Ierakstīts Septembris 27, 2014 Share Ierakstīts Septembris 27, 2014 Sveiki. Ir publiskais IP un ports (nestandarta). Konekcijai izmantos RDP protokolu. Ugunsmūrim pieeja no globālā tīkla nav ierobežota (tuvākā mēneša laikā arī laikam nemainīsies.) Kāds ir rīcības plāns, lai izveidotu maksimāli drošu savienojumu, ja ņem vērā, ka visiem lietotājiem šobrīd ir administratora tiesības, ko vēlos mainīt pret User un izveidot vienu Admin kontu lai viņi varētu manipulēt ar servisiem. Jūsu idejas un atsauces uz interneta resursiem laipni gaidītas. Link to comment Share on other sites More sharing options...
jema Septembris 27, 2014 Share Septembris 27, 2014 Ja jau tu neizmanto 3389, bet citu, tā jau ir neliela aizsardzība pret muļķiem, savādāk ver ciet RDP, liec Teamu un lieto kamēr nesakārtosi saimniecību. Link to comment Share on other sites More sharing options...
MIGs Septembris 27, 2014 Share Septembris 27, 2014 * Pirmkārt definē kas drīkst slēgties pie servera. Defaultā tie ir admini. * Tālāk, ja serveris ir kas jaunāks par 2003, tad uzliec, ka šifrēts RDP savienojums ir obligāts. * Var taču pieslēgties pie servera un no servera konfigurēt to Firewallu. * Un tad varēsi izdalīt IP adrese sno kurām var peislēgties. * Vari nogriezt iekš Firewall visu RDP kā sugu un litk lai iezvanās caur VPN un tikai tad ļaut slēgties uz RDP. * jema - kas tad tas par ieteikumu aizstāt RDP ar Teamviewer ?! 1 Link to comment Share on other sites More sharing options...
jema Septembris 27, 2014 Share Septembris 27, 2014 (labots) * jema - kas tad tas par ieteikumu aizstāt RDP ar Teamviewer ?! Ja tagad visi ir admini, tad jebkurs caur to RDP var darīt, kad un ko vēlas, tas tev neliekas par maz? Vismaz uz sākumu arī Teams der! Vai nu tagad kaput ar manu ieteikumu viss security ir sabeigts? ja ņem vērā, ka visiem lietotājiem šobrīd ir administratora tiesības Labots Septembris 27, 2014 - jema Link to comment Share on other sites More sharing options...
MIGs Septembris 27, 2014 Share Septembris 27, 2014 Nu nez - izņemt userus no adminu grupas ir ātrāk kā uzlikt Teamviewer. 1 Link to comment Share on other sites More sharing options...
jema Septembris 27, 2014 Share Septembris 27, 2014 Pēc teksta var saprast, ka darbs tad ir, bet poņas īpaši nav! Savādāk viņš jautājumus nerakstītu, bet momentāni visus pārliktu user grupu. izveidot vienu Admin kontu lai viņi varētu manipulēt ar servisiem. Un šis teksts arī absolūti dīvains, te nešķiet? Link to comment Share on other sites More sharing options...
jema Septembris 27, 2014 Share Septembris 27, 2014 Nu tā lēnām Vīnes valša ritmā Link to comment Share on other sites More sharing options...
MIGs Septembris 27, 2014 Share Septembris 27, 2014 Taisnība jau vien ir. Tas protams IR risinājums izslēgt to RDP pavisam. Vot neatminos vai varēja ar grupu polisēm/Terminal servera konfigiem novākt iespēju adminam logoties ar RDP, bet atļaut tikai tiem kas grupā. Bet jā, useris to diezin vai paveiks. Link to comment Share on other sites More sharing options...
MIGs Septembris 27, 2014 Share Septembris 27, 2014 Kā priekš kam ?! Ja jau reiz lietām ķeras klāt no dienvidu gala.. Link to comment Share on other sites More sharing options...
D.D.D Septembris 28, 2014 Author Share Septembris 28, 2014 Problēma tajā, ka tie dievi, kuri strādās ar RDP serveri ir pacelti adminu kārtā, būtu mana teikšana, sēdētu kā ūzeri. VPN nav opcija, jo lietotāji var mainīties katru stundu, kādu pieņemam/atlaižam, kādu vajag tikai uz pusstundu tieši tagad un uzreiz --- īsāk sakot nekotrolējama lietotāju plūsma, padies dievam vismaz serveri no domēna izmetu. Ar to adminu ir tā: Personīgi visus samestu grupā "Lūzeri" un iedotu Administratora (Boss/Pim.is) paroli, ja nu gadījumā vajag SQL instanci restartēt. Bet nevēlos, lai ar adminu var ielogoties, kur nu vēl mainīt Administatora paroles. Gribas pasargāt vismaz vienu kontu, lai zinu ka ar savu Administrator/#1_Pacans_Gogolja_Iel4 vienmēr varēšu ielogoties. Link to comment Share on other sites More sharing options...
MIGs Septembris 28, 2014 Share Septembris 28, 2014 Ieslēdz, nokonfigurē un peiliec CALus Terminal Service. Varēsi logoties arī ar parastajiem useriem, jo defaultā RDP ir paradzēts tikai 1 kondkcijai(2003.serverim divām)ar adminu. Kas slēdzas uz tā servera ? Lietotāji parastie vai tomēr kādi datoristi, koderi un citi advancēti useri ?! Liekads dumji, atļaut lietotājam parastajam restartēt SQL. Bet vienmeŗ vari uzrakstīt skriptu kas restartē servisus caur RUNAS(saglabājot paroli): Man uz viena 2003 stāv šādi .BAT skripti kur koderi var restartēt IIS. Vēl es tur uztaisīju atsevišķu useri priekš IIS restartēšanas.: echo "%DATE% %TIME% Izpildisim komandu IIS stop." >> "C:\IIS_Restart\IIS__start_stop_log.txt" runas.exe /noprofile /env /savecred /user:iisreset "c:\windows\system32\iisreset /stop" >> "C:\IIS_Restart\IIS__start_stop_log.txt." echo "%DATE% %TIME% IIS stop komand aizpildita." >> "C:\IIS_Restart\IIS__start_stop_log.txt" PAUSE echo "%DATE% %TIME% Izpildisim komandu IIS start." >> "C:\IIS_Restart \IIS__start_stop_log.txt" runas.exe /noprofile /env /savecred /user:iisreset "c:\windows\system32\iisreset /start" >> "C:\IIS_Restart\IIS__start_stop_log.txt." echo "%DATE% %TIME% IIS start komand aizpildita." >> "C:\IIS_Restart\IIS__start_stop_log.txt" PAUSE Link to comment Share on other sites More sharing options...
Recommended Posts
Izveido kontu, vai pieraksties esošajā, lai komentētu
Jums ir jābūt šī foruma biedram, lai varētu komentēt tēmas
Izveidot jaunu kontu
Piereģistrējies un izveido jaunu kontu, tas būs viegli!
Reģistrēt jaunu kontuPierakstīties
Jums jau ir konts? Pierakstieties tajā šeit!
Pierakstīties tagad!