ipoluda

Если дружите с микротиками, советую поставить на проксе рядом с виндой виртуалку с CHR, ресурсов на это нужно минимум, работать будет как швейцарские часы (не забудьте только лицуху подгрузить в System - License, покупать ничего не нужно, просто учётку завести на сайте). В проксе создаёте ещё один linux бридж, он и будет сетевым интерфейсом для винды, микротику даёте оба бриджа в качестве сетевых интерфейсов, один будет WAN портом, другой, который также будет и у винды - LAN портом микротика. Весь трафик от/до винды будет проходить через этот микрот, там есть вайр клиент, останется только добавить киллсвитч, то есть к маршруту который отправляет в вайр все добавить второй с distance=2 который будет отправлять в никуда. У самого много серверов так работает. Могу рассказать поподробнее если что не понятно

В общем, наверняка когда-нибудь кто-то будет пытаться решить этот же вопрос, поэтому вот моё решение в виде велосипеда с костылями вместо колёс. Так как все компьютеры в нашей организации имеют минимум 8Гб оперативки, поставил на них proxmox, внутри него крутится виртуалка с виндой, которой достаётся около 7Гб (что тоже неплохо для офисных задач). На proxmox поставил GUI (Mate + LightDM) и подключаюсь к виртуалке на этом же компе посредством RDP (freerdp). Параллельно поднял NodeRed сервер, на который поставил telegram бота и ноды ssh. Схема такая: пользователь загружает proxmox с рабочим столом, затем отправляет боту в телеграме команду "unlock", NodeRed определяет какой пользователь это отправил и подключается по SSH к соответствующему компьютеру (к proxmox) и вводит команду qm sendkey, которая вбивает пароль дешифрации в виртуалку с Windows, после чего винда загружается и к ней можно подлючаться по RDP. Итог: польщователь не знает пароль, но может дешифровать винду, при этом ключи дешифрации каждой станции хранятся в NodeRed, который в свою очередь также крутится на зашифрованном линуксе