終端服務上的非信任使用者
我們正在考慮讓我們的 10 多個供應商(主要來自中國)通過統一的界面輸入/編輯/查看數據。首選方法是使用與內部相同的基於 Windows 的 .NET/MSSQL 應用程序。
由於應用程序需要直接的數據庫連接,我的想法是允許所有供應商通過終端服務訪問我們站點上的伺服器。但是這種方式的安全性存在顧慮,所以目前的計劃是開發應用程序的web界面(成本高昂)或者繼續使用excel/txt/word/pdf進行數據送出(嗯……)。
詳細地說,我的方法包括:
外部伺服器
Windows Server 2003、SQL Server 2005、應用程序
windows更新設置為自動
終端服務,授予個人使用者
直接啟動應用程序(組策略),終止後自動註銷
調整文件系統 ACL 以防止:
- 任何文件寫入(例如配置文件除外)
- taskmgr, cmd, ftp, telnet, ( explorer.exe? )的執行
系統資料庫 ACL 應該沒問題
更改 RDP 埠
適當的防火牆
啟用審核(組策略),通過電子郵件向管理員報告事件:
- 執行cmd、taskmgr等(所有使用者,包括system/admin/…)
- 更改安全權限
內部伺服器
通過交叉乙太網連接
完全防火牆(入站)
每 5 分鐘同步一次:
- 開放式區域網路介面
- 通過網路共享同步文件
- 通過 SQL Server 複製同步數據庫(一些表入站,許多表出站)
- 關閉 LAN 介面
備份和歷史備份(因為外部伺服器擁有應用程序數據庫的主副本)
由於我在我的部門使用了類似的方法(網路而不是終端服務),我對設置沒有異議。我關心的唯一可行的攻擊是應用程序本身的破壞,這可能導致應用程序特定數據(針對所有供應商)的洩露。
不過,由於我必須說服一群支持 excel 方法的人,我想听聽您的想法。
非常感謝。
不幸的是,您使用的是 Server 2003,因為 Server 2008 的 RemoteApp 功能將在這種情況下為您提供出色的服務。但是,從安全的角度來看,您所擁有的應該幾乎涵蓋了它。
我們曾經有一個帶有不受信任使用者的 TS,並且設置類似。使用 GPO,我們鎖定了帳戶以刪除所有內容- 他們的開始菜單只有“註銷”,Windows 安全螢幕中的所有內容都被禁用(更改密碼和註銷除外),如果他們能夠打開瀏覽螢幕,訪問每個本地磁碟都被禁用,並且它們是實際上拒絕訪問網路資源的受限組的成員。地獄,我們甚至禁用了右鍵點擊他們的桌面的能力。我們還禁用了將客戶端設備映射到終端服務以及命令提示符的功能。
基本上,我們通過了一個 GPO 並禁用了我們可以發現的 UI 的每一個功能。雖然我們確實在禁用資源管理器時遇到了麻煩,但如果您可以在啟動時強制啟動單個程序,也可以隨意禁用它。
有幾件事你可能沒有想到:
- 我不會費心改變埠。這只是通過默默無聞的安全性,然後每次您必須將 TS 地址讀給某人時都會很痛苦
- 在連接上啟用符合 FIPS 的加密
- 如果這是 Server 2008,我會強制執行網路級身份驗證
實際上,如果可以的話,我強烈建議盡可能遷移到 2008 R2,因為它為終端服務(或現在稱為 RDS)提供了更多安全功能