Ранее я много работал с терминальными серверами, но это было довольно давно, в период NT 2000–2008. Мои знания немного устарели, хотя в основном функционал остался прежним, только добавилось много нового. У меня есть два вопроса: 1. Кто-то действительно использует AppLocker? Не будет ли в дальнейшем слишком сложно поддерживать его работу, если необходимо обеспечить функционирование таких приложений, как офисный пакет, 1С и несколько браузеров? Я понимаю, что можно создать белый список приложений и запретить запуск программ из остальных папок. Какие есть минусы при использовании AppLocker? У меня возникли проблемы, когда первые тестовые пользователи без прав на установку программ начали устанавливать нелицензионные браузеры в свои профили. Это сильно тревожит, так как мне хотелось бы избежать разнообразия и непроверенных приложений. 2. В разделе "Безопасность" коллекции сеансов, когда я устанавливаю галочку для подключения с компьютеров с проверкой подлинности на уровне сети, все работает корректно. Однако, когда я добавляю галочку для смены пароля при входе, пользователи не могут выполнить эту операцию. Я понимаю, что они пытаются авторизоваться до подключения, но не могут сменить пароль. Как решить эту проблему? Оставлять эту галочку отключенной не хочется, поскольку мне важно, чтобы никто, кроме пользователя, не знал его пароль.
Конечно! Давайте разберемся с вашими вопросами по поводу AppLocker и смены пароля на терминальном сервере Windows 2019. ### 1. Использование AppLocker AppLocker — это мощный инструмент для управления запуском приложений и повышения безопасности. Он работает на основе создания белых списков (или черных списков) приложений, и многие организации действительно используют его для контроля за программным обеспечением. Давайте рассмотрим преимущества и недостатки: #### Преимущества: - **Безопасность**: Ограничивает запуск нежелательных и потенциально вредоносных приложений. - **Контроль**: Позволяет тщательно контролировать доступ к приложениям и уменьшает риск установки нелицензионного ПО. - **Соблюдение требований**: Помогает в соблюдении корпоративных и законодательных норм. #### Недостатки: - **Усложнение управления**: Поддержка AppLocker может быть сложной задачей, особенно если у вас много приложений с постоянными обновлениями. - **Проблемы с совместимостью**: Могут возникнуть сложности с некоторыми приложениями, что потребует постоянного контроля и внесения изменений в правила в случае обновлений software. - **Издержки на администрирование**: Вам потребуется время на настройку и составление правил, особенно в больших организациях. Для успешного использования AppLocker важно заранее спланировать, какие приложения будут необходимы вашим пользователям, и протестировать правила перед широким внедрением. Лучше всего запускать апдейт с белыми списками, включающими наиболее важные и используемые вами приложения. ### 2. Проблема со сменой пароля Что касается настройки смены пароля, вы правы: когда включается проверка подлинности на уровне сети (NLA), пользователи действительно должны будут выполнять эту операцию до того, как они подключатся к сеансам вашего терминального сервера. Обычно можно столкнуться с проблемой выполнения смены пароля через стандартные методы из-за условий подключения. #### Решения: 1. **Используйте Remote Desktop Connection Manager**: Это приложение позволяет пользователям напрямую изменять свои пароли при входе. Обеспечьте, чтобы они имели доступ к этой утилите. 2. **Настройка локальной политики**: Убедитесь, что пользователи понимают, как и когда они должны сменять пароль. Возможно, у вас уже есть политика, которая требует смены пароля с определенной периодичностью, что может повлиять на их восприятие. 3. **Обучение пользователей**: Проводите небольшие тренинги для пользователей о том, как правильно менять пароли и объясняйте, как работает функциональность системы. 4. **Использовать PowerShell или GPO**: Вы можете настроить учетные записи с помощью групповых политик или скриптов PowerShell так, чтобы обеспечивать пользователям возможность смены пароля через удаленные средства при первой авторизации (например, через VPN). ### Заключение AppLocker и вопросы безопасности паролей — это более чем просто технические вопросы, они требуют внимательного подхода к управлению изменениями и обучению пользователей. Обязательно активно взаимодействуйте с конечными пользователями для устранения недостатков и педагогических моментов, и это поможет снизить вероятные недоразумения и повысить безопасность. Надеюсь, это поможет вам в вашей работе с терминальным сервером!
Яндекс-браузер - так и ставится в профиль пользователя. А поставить его крайне настойчиво предлагает сам Яндекс при посещени поисковика...
С AppLocker есть проблема легкого обхода, тут даже на хабре были статьи. Плюс там надо делать хэш, а это значит что даже Хром и Edge при каждом обновлении будет выпадать из белого списка...
Тем не менее - этот вопрос решается и решение не техническое, а организационное. Запрещаете приказом, знакомите с приказом, включаете при необходимости в положение о премировании, должностную инструкцию, трудовой договор.
Потом делаете аудит и снижаете премию пойманным, с публикацией приказа внутри организации, чтоб остальным было неповадно. Рецидивистам делаете дисциплинарные взыскания и увольнения. И проблема решается не техническими методами. В том числе с кадрами типа "ой, а оно само, я ничего не делалала, я в этом ничего не понимаю".
Не очень хорошо, но можно сделать скрипт, пробегающий профили и всем исполяемым файлам (.exe, .com, .msi, .msp, .bat, .scr, .js, .dll), навешивает аттрибут запрет исполнения. При этом отбираете у пользователя полные права на файлы профиля (только в разрезе смены прав), и удаляете права для создателя файла. Потребуется немного в политиках объяснить системе, что без полных прав тоже приемлемо. Тогда скачать они смогут, запустить нет. При этом нужно запрещать создание папок на диске С и запрещать исполнение файлов на других сетевых ресурсах.
Можно поиметь проблем с совместимостью с ПО, надо тщательно тестировать.
Отключать проверку пароля на уровне сети - крайне опасная затея. Т.к. терминальная сессия становиться доступна без пароля и соответственно все уязвимости доступны злоумышленникам в полной мере. Особенно если она "светит" наружу.
Система напоминает о скорой замене, по умолчанию за две недели, но многие пользователи обладают выборочной слепотой, и не видят уведомление.
Попробуйте настроить скрипт рассылки ИМ писем, когда пароль заканчивается и что его пора сменить. А для особо запущенных случаев есть жестокий способ - при обращении пользователя меняйте ему пароль, но на серийники от Windows XP или что-то подобное. После пары вводов такого пароля - они сразу и резко научаются их менять и перестают забывать (кроме отпусков).
Еще не забывайте про утекшие пароли, через которые вам однажды занесут шифровальщика. Раньше такой проблемы не было, сейчас она очень острая. При чем атаковать вас будет не вирус, а человек оборудованный головным мозгом. Поэтому на внешних терминалах обязательно прикручивайте двухфакторку. Тот же MultiOTP бесплатен, и умеет дружить с Active Ditectory. А на смартфоне он совместим с кучей программ, вплоть до Google Authenticator.
Уж если вам так хочется решить проблему паролей - сделайте их бессрочными, разрешите сохранять на клиентских устройствах, но оставьте проверку одноразового ПИН-кода из аутентикатора.
Тогда пользователь при подключении введет пароль, поставит галку "сохранить", а дальше будет заходить фактически только по ПИНу, украсть который нереально.
З.Ы.
По возможности завязывайте с сервером 2019. Сейчас актуален 2022. На 2019 уже начинается "проблема Windows XP".