Как лучше организовать доступ к файлам (FTP, SMB или RDP)?
Здравствуйте!
Дано:
Сервер под управлением Windows Server 2012 r2 и 5 клиентских ПК, связанных локальной сетью без доступа в интернет.
На сервере поднят домен, созданы учетные записи пользователей AD. Основная и единственная задача, которая должна выполняться в этой ЛВС, это создание пользователями документов в пакете MS Office и их централизованное хранение на сервере, причем должно быть строгое разграничение доступа к ресурсам - кроме автора доступ к его файлам никто получить не может. Сторонние USB, HDD, FDD, CD/DVD - накопители подключать запрещено.
Вопрос:
Как лучше организовать доступ пользователей к файлам, хранящимся на сервере:
1) Доступ через FTP-сервер;
2) Расшаривание папок (сетевые диски);
3) Работа пользователей через RDP?
Какой из вариантов лучше, с точки зрения безопасности защищаемых файлов?
При условии добавления клиенских ПК в домен, вариант с корректно расшаренными папками на сервере (с корректно установленными разрешениями) на мой взгляд предпочтительнее.
При расширенных требованиях к безопастности дополнительно неплохо внедрить EFS и смарт-карты.
Протокол RDP переводится как Remote Desktop Protocol. Фактически это означает, что работа с информацией в файлах ведется на сервере локально, а на клиенты передается только изображение.
Соответственно - это более ресурсоемкое (требует более мощного сервера) и менее привычно для пользователей.
Но применимость в каждом случае надооценивать отдельно. Например есть еще вариант с бездисковыми станциями, тогда RDP и VDI будут вам полезнее.
Про ресурсоемкость все понятно, допустим это не проблема.
При использовании RDP настораживает тот факт, что пользователь попадает и работает непосредственно на сервере, опаснее ли это (дает ли это дополнительные преимущества возможным злоумышленникам), нежели если пользователь видит в сети только расшаренную для него папку, а все вычисления осуществляются на клиентском ПК? Или при грамотном разграничении доступа особой разницы нет?
Хотя в RDP есть возможность разрешить ему при терминальном подключении использовать только заданное приложение, но соглашусь с Вами, пользователям будет не привычно.
На современных серверах, с аппаратной поддержкой DEP и без админских прав - терминальные сервера достаточно безопастны. Но обновлять их прийдется регулярно, дырки бывают.
Выбор упирается в конкретные условия. Может вы сеть разворачиваете для осужденных по 272 статье УК РФ, тогда я бы рекомендовал VDI. :)
Расшаривание папок конечно. Создай группы безопасности для каждой папки. Можно еще внедрить EFS и Bitlocker. RDP чисто для общих папок как-то не серьезно, если только эти пять компьютеров не в одном локальной сети с сервером.
Средний
Средний
