Fall_Angel
@Fall_Angel

Интернет на терминальном сервере

Добрый день.

Подтолкните пожалуйста в сторону верного решения.

Задача:
Выпустить пользователя в Интернет с терминального сервера максимально обезопасив сам сервер от возможного заражения.

Вижу следующие варианты:
1) Классический: Режем все возможные права и тюним права на запись в различные директории + антивирус с фаерволом + какой-нибудь интересный проксик)
(Минусы: Долго тюнить + стоимость антивируса и проксика)

2) Извратный: Запускаем браузер как RemoteApp с другого сервера, который является виртуальным и откатывается к дефолтному состоянию к примеру раз в в сутки.
(Минусы: Стоимость серверной лицензии (Server 2008R2/2012))

Будем считать что аппаратные ресурсы на кластере виртуализации расходуются в обоих вариантах примерно одинаково.

Можно ли опубликовать приложение бесплатными средствами? Или как-то еще интереснее решить данную задачу?
  • Вопрос задан
  • 8131 просмотр
Пригласить эксперта
Ответы на вопрос 7
@joneleth
Да ладно, что там долго тюнить-то. Если у пользователя нет прав администратора, да еще и антивирус есть, больше ничего делать не надо.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
Эм. первое что Вам надо под Windows — права обычных пользователей у всех.
второе что при этом надо — Локальные или групповые политики и запрет запуска п/о откуда угодно, кроме c:\windows, Program Files +(x86 вариант)
Ну и ms essentials для антивирусной защиты.
Собственно, дальше требуется только регулярная установка обновлений на установленный софт (1с, офис, жава/флеш, адоб ридер)
На этом, собственно всё.
Ответ написан
Anastasia_K
@Anastasia_K
а Вы не думали сделать второй вариант с серверной частью на linux?
Ответ написан
omnimod
@omnimod
Как альтернатива — можно виртуализовать приложение Web-браузера (Microsoft App-V, VMware ThinApp или другие), добавив в пакет дополнительные необходимые компоненты — flash, java, etc.

Но прокси-сервер и антивирус должны быть в любом случае.
Ответ написан
alk0v
@alk0v
Сетевой инженер, электронщик, цифровой археолог
Цель просто дать пользователю инет? Может проще выпустить его в инет прямо с тонкого клиента/RDP-клиента? Даже на старых тонких клиентах есть браузер.
Ответ написан
@mihmig
Я бы не рекомендовал запускать браузер(ы) на рабочем терминальном сервере, где крутится рабочий софт. Т.к. у пользователя есть возможность открыть неограниченное число вкладок с неограниченным числом глючных flash-баннеров.
А так как в Windows (вплоть до 2008 R2 включительно) НЕТ инструментов по ограничению пользователя по памяти/процессору —
это может вызвать тормоза всего сервера.

Я бы посмотрел в сторону второго терминального сервера на Linux (LTSP) с RDP-доступом к нему.
Ответ написан
у себя на предприятии полностью отказался от RemoteApp (win 2008 R2 server). Крайне очень не стабильная штука. Чуть чихнёшь — «ошибка протокола», и перезапускать всё заного…
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы