Как защитить информацию в Windows Server 2012 R2 при предоставлении дсоутпа к одному приложению по RDP (Remote App)?

Question

[Иван Трофимов]

Можно ли как-то ограничить доступ пользователя только к одному приложению по RDP на Windows Server 2012 R2, при этом не давая пользователю доступ к удалённой файловой системе? В теории можно организовать RemoteApp, но мне не понятно, при открытии "Сохранить как..." будет отображаться ФС удалённой машины, или локальной?
Второй вариант: полноценный RDP доступ, запрещаем копирование по RDP, на фаерволле оставляем только RDP трафик.
Какие ещё есть варианты? Можно использовать сторонние продукты.

Comments

[Алексей]

Удаленная ФС отображаться будет - это разрешено политикой по умолчанию, можно отключить доступ к локальным ресурсам сервера терминалов и разрешить монтирование удаленных ресурсов (в том числе сетевых дисков). Сам с такой паранойей сталкивался, отключаем диспетчер задач, запрещаем контекстное меню в проводнике, запрещаем выполнение скриптов, ограчиваем папки откуда возможен запуск приложений. Можно порезать практически все политикой.

[Иван Трофимов]

Алексей: Цель - дать пользователю возможность работать с приложением, которое использует библиотеку и не допустить копирование этой самой библиотеки на локальную машину.

[Иван Трофимов]

Алексей: может просто запретить весь трафик кроме RDP и запретить буфер обмена через RDP? Оставить только входящие подключения RDP и остальное закрыть? Что ещё посоветуете запретить для пользователя?

[Алексей]

Иван Трофимов: я закрывал все что было написано в моем комментарии (про буфер обмена забыл написать %) ). Параноя. Реально же кроме запрета проброса своих дисков и буфера (если нет доступа к общим сетевым ресурсам в том числе ftp и др.) в RemoteApp можно ничего не делать. Отдельный пакет для установки программы и левый порт, а не 3389.

Answer 1

[res2001]

при открытии "Сохранить как..." будет отображаться ФС удалённой машины, или локальной?

Удаленная ФС отображаться будет, локальная - если на клиенте включено перенаправление дисков.
На удаленном сервере урежьте права до пользовательских. На сервере не храните никакой ценной информации - пусть все получает с других серверов в сети в соответствии со своими правами, а терминальный сервер только для удаленного доступа.
Доступ к приложениям ограничивается, если развернута АД. Без АД - доступны все приложения, но можно:
1.не настраивать Web доступ к приложениям, чтоб пользователи не могли увидеть полный список опубликованных приложений;
2.Настраивать приложения на клиенте в ручную (через rdp или msi файлы).
Тогда фактически у клиента будет только то приложение, которое вы ему настроите.
Он, конечно, может сам получить доступ к другим приложениям, но для этого необходимо иметь кое-какие навыки в администрировании. У пользователей, имхо, таких навыков быть не должно, иначе нужно их приглашать в ИТ отдел работать.

Comments

[Иван Трофимов]

Спасибо за развёрнутый ответ. Пользователей можно завести без AD, локально на сервере но не давать админских прав, чтобы они имели доступ только к своему профилю и не более.
Цель - дать пользователю возможность работать с приложением, которое использует библиотеку и не допустить копирование этой самой библиотеки на локальную машину или в интернет.

Как вариант - запретить всё на фаерволле, разрешить только трафик по tcp 3389. Запретить буфер обмена RDP.

Answer 2

[Сергей]

В теории можно организовать RemoteApp, но мне не понятно, при открытии "Сохранить как..." будет отображаться ФС удалённой машины, или локальной?

может практикой заняться вам нужно?