Jump to content

Attālinātā piekļuve serverim


D.D.D
 Share

Recommended Posts

Sveiki.

 

Ir publiskais IP un ports (nestandarta). Konekcijai izmantos RDP protokolu. Ugunsmūrim pieeja no globālā tīkla nav ierobežota (tuvākā mēneša laikā arī laikam nemainīsies.)

 

Kāds ir rīcības plāns, lai izveidotu maksimāli drošu savienojumu, ja ņem vērā, ka visiem lietotājiem šobrīd ir administratora tiesības, ko vēlos mainīt pret User un izveidot vienu Admin kontu lai viņi varētu manipulēt ar servisiem.

 

Jūsu idejas un atsauces uz interneta resursiem laipni gaidītas.

 

Link to comment
Share on other sites

Ja jau tu neizmanto 3389, bet citu, tā jau ir neliela aizsardzība pret muļķiem, savādāk ver ciet RDP, liec Teamu un lieto kamēr nesakārtosi saimniecību.

Link to comment
Share on other sites

* Pirmkārt definē kas drīkst slēgties pie servera. Defaultā tie ir admini.

* Tālāk, ja serveris ir kas jaunāks par 2003, tad uzliec, ka šifrēts RDP savienojums ir obligāts.

* Var taču pieslēgties pie servera un no servera konfigurēt to Firewallu.

* Un tad varēsi izdalīt IP adrese sno kurām var peislēgties.

* Vari nogriezt iekš Firewall visu RDP kā sugu un litk lai iezvanās caur VPN un tikai tad ļaut slēgties uz RDP.

 

* jema - kas tad tas par ieteikumu aizstāt RDP ar Teamviewer ?!

  • Patīk 1
Link to comment
Share on other sites

* jema - kas tad tas par ieteikumu aizstāt RDP ar Teamviewer ?!

Ja tagad visi ir admini, tad jebkurs caur to RDP var darīt, kad un ko vēlas, tas tev neliekas par maz? Vismaz uz sākumu arī Teams der! Vai nu tagad kaput ar manu ieteikumu viss security ir sabeigts?

 

 

ja ņem vērā, ka visiem lietotājiem šobrīd ir administratora tiesības
  Edited by jema
Link to comment
Share on other sites

Pēc teksta var saprast, ka darbs tad ir, bet poņas īpaši nav! Savādāk viņš jautājumus nerakstītu, bet momentāni visus pārliktu user grupu.


 

 

izveidot vienu Admin kontu lai viņi varētu manipulēt ar servisiem.
Un šis teksts arī absolūti dīvains, te nešķiet?
Link to comment
Share on other sites

Nu tā lēnām Vīnes valša ritmā  :sorry:

Link to comment
Share on other sites

Taisnība jau vien ir.

Tas protams IR risinājums izslēgt to RDP pavisam.

 

Vot neatminos vai varēja ar grupu polisēm/Terminal servera konfigiem novākt iespēju adminam logoties ar RDP, bet atļaut tikai tiem kas grupā.

Bet jā, useris to diezin vai paveiks.

Link to comment
Share on other sites

Problēma tajā, ka tie dievi, kuri strādās ar RDP serveri ir pacelti adminu kārtā, būtu mana teikšana, sēdētu kā ūzeri.


VPN nav opcija, jo lietotāji var mainīties katru stundu, kādu pieņemam/atlaižam, kādu vajag tikai uz pusstundu tieši tagad un uzreiz --- īsāk sakot nekotrolējama lietotāju plūsma, padies dievam vismaz serveri no domēna izmetu.


Ar to adminu ir tā:

 

Personīgi visus samestu grupā "Lūzeri" un iedotu Administratora (Boss/Pim.is) paroli, ja nu gadījumā vajag SQL instanci restartēt. Bet nevēlos, lai ar adminu var ielogoties, kur nu vēl mainīt Administatora paroles. 

 

Gribas pasargāt vismaz vienu kontu, lai zinu ka ar savu Administrator/#1_Pacans_Gogolja_Iel4 vienmēr varēšu ielogoties.

Link to comment
Share on other sites

Ieslēdz, nokonfigurē un peiliec CALus Terminal Service.

Varēsi logoties arī ar parastajiem useriem, jo defaultā RDP ir paradzēts tikai 1 kondkcijai(2003.serverim divām)ar adminu.

 

Kas slēdzas uz tā servera ? Lietotāji parastie vai tomēr kādi datoristi, koderi un citi advancēti useri ?!

Liekads dumji, atļaut lietotājam parastajam restartēt SQL. Bet vienmeŗ vari uzrakstīt skriptu kas restartē servisus caur RUNAS(saglabājot paroli):

 

Man uz viena 2003 stāv šādi .BAT skripti kur koderi var restartēt IIS.

Vēl es tur uztaisīju atsevišķu useri priekš IIS restartēšanas.:

echo "%DATE% %TIME% Izpildisim komandu IIS stop." >> "C:\IIS_Restart\IIS__start_stop_log.txt"
runas.exe /noprofile /env /savecred /user:iisreset "c:\windows\system32\iisreset /stop" >> "C:\IIS_Restart\IIS__start_stop_log.txt."
echo "%DATE% %TIME% IIS stop komand aizpildita." >> "C:\IIS_Restart\IIS__start_stop_log.txt"
PAUSE


echo "%DATE% %TIME% Izpildisim komandu IIS start." >> "C:\IIS_Restart
\IIS__start_stop_log.txt"
runas.exe /noprofile /env /savecred /user:iisreset "c:\windows\system32\iisreset /start" >> "C:\IIS_Restart\IIS__start_stop_log.txt."
echo "%DATE% %TIME% IIS start komand aizpildita." >> "C:\IIS_Restart\IIS__start_stop_log.txt"
PAUSE

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...