В
вопросе мы обсудили основные моменты терминального доступа в школе. Однако во время beta эксплуатация всплыли новые проблемы, которые надо решать.
1. Способы аутентификации
По умолчанию RDP использует небезопасную схему логин+пароль. Возможно ли в Windows Server 2019 вместо связки логин+пароль использовать связку логин+приватный_ключ (наподобие SSH) или логин+биометрия для RDP? Возможно ли использовать OAuth на основе OpenID для RDP RemoteApp?
2. Альтернатива chroot для windows
Если в режиме RemoteApp запустить какую-нибудь программу (например PhotoShop или Microsoft PowerPoint), то можно будет получить полный доступ к диску C:\. Записать без прав администратора не получиться, но чтение системных файлов уже достаточно для угрозы безопасности. Возможно ли как-то скрыть системные файлы (и личные файлы администрации) в режиме RemoteApp?
3. Версии новые, проблема старые
Терминальный сервер переехал с Windows Server 2012 на Windows Server 2019. Однако 2019 сервер завис на версии 1809, которая устарела. Возможно ли как-то поставить версию с поддержкой RDP10, WSL2 и работы Hyper -V + VMware? Желательно 20H1.
Как решить все вопросы безопасности?