Интернет на терминальном сервере

Question

[Fall_Angel]

Добрый день.

Подтолкните пожалуйста в сторону верного решения.

Задача:
Выпустить пользователя в Интернет с терминального сервера максимально обезопасив сам сервер от возможного заражения.

Вижу следующие варианты:
1) Классический: Режем все возможные права и тюним права на запись в различные директории + антивирус с фаерволом + какой-нибудь интересный проксик)
(Минусы: Долго тюнить + стоимость антивируса и проксика)

2) Извратный: Запускаем браузер как RemoteApp с другого сервера, который является виртуальным и откатывается к дефолтному состоянию к примеру раз в в сутки.
(Минусы: Стоимость серверной лицензии (Server 2008R2/2012))

Будем считать что аппаратные ресурсы на кластере виртуализации расходуются в обоих вариантах примерно одинаково.

Можно ли опубликовать приложение бесплатными средствами? Или как-то еще интереснее решить данную задачу?

Answer 1

[joneleth]

Да ладно, что там долго тюнить-то. Если у пользователя нет прав администратора, да еще и антивирус есть, больше ничего делать не надо.

Answer 2

[Николай Турнавиотов]

Эм. первое что Вам надо под Windows — права обычных пользователей у всех.
второе что при этом надо — Локальные или групповые политики и запрет запуска п/о откуда угодно, кроме c:\windows, Program Files +(x86 вариант)
Ну и ms essentials для антивирусной защиты.
Собственно, дальше требуется только регулярная установка обновлений на установленный софт (1с, офис, жава/флеш, адоб ридер)
На этом, собственно всё.

Comments

[Fall_Angel]

Спасибо за совет.
Да, скорее всего таким способом и буду решать эту задачу.

[Николай Турнавиотов]

Главное политики по запуску п/о аккурано правьте — штатных хватает, но для администраторов всё таки установку п/о лучше оставить.
Плюс для администраторов разрешить запуск инсталляторов из какой-то папки, куда доступ на r/w есть только для администраторов.

Еще можно подкрутить политиками запуск исполняемых компонентов-плагинов для IE.

Еще вдогонку — поставьте фичу resource manager для квотирования ресурсов, иначе один броузер, которому снесло крышу может отожрать все ресурсы системы так, что даже залогиниться и запустить менеджер задач администратору может оказаться проблематично — реальный кейс неделю назад на терминалке у меня в компании.

Answer 3

[Anastasia_K]

а Вы не думали сделать второй вариант с серверной частью на linux?

Comments

[Fall_Angel]

Да, думал. Используя X11-Forwarding.
Надо пробовать. Вижу нюансы с учетными записями и прозрачной доменной авторизацией, а так же если сессия рвется-приложение закрывается.

Answer 4

[omnimod]

Как альтернатива — можно виртуализовать приложение Web-браузера (Microsoft App-V, VMware ThinApp или другие), добавив в пакет дополнительные необходимые компоненты — flash, java, etc.

Но прокси-сервер и антивирус должны быть в любом случае.

Answer 5

[Александр Коваленко]

Цель просто дать пользователю инет? Может проще выпустить его в инет прямо с тонкого клиента/RDP-клиента? Даже на старых тонких клиентах есть браузер.

Comments

[Fall_Angel]

К сожалению в таком клиенте как Wtware это не реализовано.

[Николай Турнавиотов]

на НР и гигабайтах, что стоят у меня в офисе в прошивке есть броузер и скайп.

[Александр Коваленко]

Стремное какое-то решение, Вы уж извините, я так понял это просто софт на обычном тазике? Я б лучше тех же НР стареньких набрал баксов по 50-60, что-то вроде Т5530/Т5710

[Николай Турнавиотов]

Ну вот на тонких клиентах стоит линуксовая прошивка бутающаяся по сети.
а в линукс никто не мешает впихнуть что броузер что скайп что еще туеву кучу софта.
местами RDP/VNC далеко не самое главное требование

Answer 6

[mihmig]

Я бы не рекомендовал запускать браузер(ы) на рабочем терминальном сервере, где крутится рабочий софт. Т.к. у пользователя есть возможность открыть неограниченное число вкладок с неограниченным числом глючных flash-баннеров.
А так как в Windows (вплоть до 2008 R2 включительно) НЕТ инструментов по ограничению пользователя по памяти/процессору —
это может вызвать тормоза всего сервера.

Я бы посмотрел в сторону второго терминального сервера на Linux (LTSP) с RDP-доступом к нему.

Comments

[Николай Турнавиотов]

эм. а фича Resource Manager?

Answer 7

[Константин]

у себя на предприятии полностью отказался от RemoteApp (win 2008 R2 server). Крайне очень не стабильная штука. Чуть чихнёшь — «ошибка протокола», и перезапускать всё заного…

Comments

[Николай Турнавиотов]

Простите, но это что-то в Вашем королевстве не так.
У меня у знакомых по компаниям массово стоят что просто RDP сеансы, что виртуализированные 1C и прочие офисные приложения реалий СНГ.
Лично разворачивал несколько RDP ферм по компаниям от десятка до нескольких сотен человек, ни разу крупных проблем не было

[Константин]

у меня тоже «просто RDP сеансы», и всё работает.
А вот remoteApps — нет, и я не отнюдь не одинок social.technet.microsoft.com/Forums/ru-RU/6c739965-cbb4-41a9-b1ad-cb7b343f5774/-remoteapp
ничем не лечится. На 12м сервере не пробовал.

[Николай Турнавиотов]

у меня куча rdp начиная с 2003 винды и кончая уже 2012 сервером, всё работает годами

[Константин]

не путайте rdp и remoteApps!
Хотите пример как 100% крашнуть remoteApps? подключитесь в сеанс пользователя с remoteApps на терминальном сервере. При отключении 100% краш окна у клиента.

[Николай Турнавиотов]

не путаю, спасибо за идею, надо будет как-то проверить.
А вообще за всё время использования remoteapps такой надобности подключиться к мс офису/1с/опубликованным crm
а) не было и разу.
б) инцидентов типа «1с не работает» (RApps) на моей практике не было — Учётки лочились, инет падал, профили пересоздавать приходилось, но вот работа конкретно приложения не нарушалась никогда.

[Константин]

ещё 1 существенный минус к RA.
Пусть пользователь запустит RА с 1С, где выбирается пользователь. Маленькое такое окошко. Подключитесь в сеанс в этот момент. Отключитесь. У него окошко навеке будет маленьких размеров, пока не перезапустит сеанс RA