@aleks-th

Windows 2019 terminal server два вопроса по AppLocker, и по смене пароля ползователя?

Раньше с терминал серверами работал много, но очень давно, еще во времена nt-2000-2003-2008.
Знания несколько устарели, хотя в основном смотрю так же все осталось, только нового много добавилось.

Вопрос первый кто-то реально использует AppLocker ?
И не слишком ли потом геморно будет все поддерживать, скажем - если нужно чтобы работал офис, 1С пара браузеров. ?
Как я понял можно сделать белый список сделать, а из остальных папок просто запретить запускать программы.
В общем какие минусы есть при его использовании...

А то первые тестовые юзеры без каких-то прав легко себе в профили левых браузеров понаставили, и это сильно напрягает, хоть я и понимаю что они в их профилях, но хотелось бы чтобы ничего не было разношерстного и неучтенного.
---
И второй вопрос - в свойствах безопасность в коллекции сеансов, когда я ставлю галку - подключатся с компьютеров с проверкой подлинности на уровне сети, все в принципе работает.
Но если пользователю ставлю галку сменить пароль при входе - он не дает этого сделать.

Если я правильно понимаю он пытается авторизоваться до подключения, но в этот момент юзер не может авторизоваться так как не может сменить пароль... И получается кольцо которое нужно как то разбить.

Погуглил как решить ответа не нашел везде совет убрать эту галку, но мне кажется это из раздела вредных советов.
Можно ли с этим что-то сделать, хочется чтобы никто кроме юзера его паролей не знал.
  • Вопрос задан
  • 107 просмотров
Решения вопроса 1
pindschik
@pindschik
ФЫВА ОЛДЖ
Яндекс-браузер - так и ставится в профиль пользователя. А поставить его крайне настойчиво предлагает сам Яндекс при посещени поисковика...

С AppLocker есть проблема легкого обхода, тут даже на хабре были статьи. Плюс там надо делать хэш, а это значит что даже Хром и Edge при каждом обновлении будет выпадать из белого списка...
Тем не менее - этот вопрос решается и решение не техническое, а организационное. Запрещаете приказом, знакомите с приказом, включаете при необходимости в положение о премировании, должностную инструкцию, трудовой договор.
Потом делаете аудит и снижаете премию пойманным, с публикацией приказа внутри организации, чтоб остальным было неповадно. Рецидивистам делаете дисциплинарные взыскания и увольнения. И проблема решается - пусть и не техническими методами. В том числе с кадрами типа "ой, а оно само, я ничего не делалала, я в этом ничего не понимаю".

Не очень хорошо, но можно сделать скрипт, пробегающий профили и всем исполяемым файлам (.exe, .com, .msi, .msp, .bat, .scr, .js, .dll), навешивает аттрибут запрет исполнения. При этом отбираете у профиля пользователя полные права на файлы профиля (только в разрезе смены прав и выполнения), и удаляете права для создателя файла. Потребуется немного в политиках объяснить системе, что без полных прав тоже приемлемо. Тогда скачать они смогут, запустить нет. При этом нужно запрещать создание папок на диске С и запрещать исполнение файлов на других сетевых ресурсах.
Можно поиметь проблем с совместимостью с ПО, надо тщательно тестировать.

Отключать проверку пароля на уровне сети - крайне опасная затея. Т.к. терминальная сессия становиться доступна без пароля и соответственно все уязвимости доступны злоумышленникам в полной мере. Особенно если она "светит" наружу.

Система напоминает о скорой замене, по умолчанию за две недели, но многие пользователи обладают выборочной слепотой и не видят уведомление. Попробуйте настроить скрипт рассылки ИМ писем, когда пароль заканчивается и что его пора сменить. А для особо запущенных случаев, если не хотите, чтоб каждое утро у вас начиналось со смены паролей - есть жестокий способ - при обращении пользователя меняйте ему пароль, но на серийники от Windows XP или что-то подобное. После пары вводов такого пароля - они сразу и резко научаются их менять и перестают забывать (кроме отпусков).

Еще не забывайте про утекшие пароли, через которые вам однажды занесут шифровальщика. Раньше такой проблемы не было, сейчас она очень острая. При чем атаковать вас будет не вирус, а человек оборудованный головным мозгом. Поэтому на внешних терминалах обязательно прикручивайте двухфакторку. Тот же MultiOTP бесплатен, и умеет дружить с Active Directory. А на смартфоне он совместим с кучей программ, вплоть до Google Authenticator.
Уж если вам так хочется решить проблему паролей - сделайте их бессрочными, разрешите сохранять на клиентских устройствах, но оставьте проверку одноразового ПИН-кода из аутентикатора.
Тогда пользователь при подключении введет пароль, поставит галку "сохранить", а дальше будет заходить фактически только по ПИНу, украсть который нереально (ну пока что).

З.Ы.
По возможности завязывайте с серверами 2019, 2016, 2012 и т.д. Сейчас актуален 2022. На 2019 уже начинается "проблема Windows XP".
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
@Quqas
по поводу второго: не баг, а фича. т.е. или шашечки или ехать. хочешь чтоб через gui могли менять пасс nla должон быть выключен. ну это если не впадать в геммор и реализовывать смену пасса через iis

а по поводу первого альтернатива remoteapp т.е. в принципе без раб.стола, а только полтора ярлыка нужных прог... но если всё это не 1м домене то гемморно
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
А то первые тестовые юзеры без каких-то прав легко себе в профили левых браузеров понаставили,

Вопрос не технический, а организационный. Во-первых, все это сносится - публично и с громким скандалом. Во-вторых составляется список, с которым идете к директору (хотя это может быть в третьих и вообще отложено - это смотря что за контора и какое у Вас там внутри нее положение). В третьих пишется регламент, который запрещает подобные выкрутасы, с ознакомлением под роспись каждого (Хотя вот это может быть и во-вторых).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы