محدودیت در ریموت زدن به سرور
با سلام
در شبکه ای ۴۰۰ کابر هستش(حالا چه در یک VLAN یا چندین VLAN) چطور میتونیم به کاربران اجازه ریموت یا به عبارتی اجازه ایجاد Session روی مثلا سرور DC را ندهیم؟
ممنون
6 پاسخ
با فعال سازی ( NLA(Network Level Authentication و انتخاب یوزرهای مربوطه جهت دسترسی به سرور می توانید جلو Sessionهایی که بعضا جهت حمله نیز انجام میشود را بگیرید.
توجه داشته باشید که روشی رو که جناب آقای Mossmm فرمودند درسته، اما انجام دادن این کار کلاً Session مربوط به RDP رو برای همه، حتی Admin شبکه هم محدود میکنه! در واقع یه جوایی انگار که کلاً اون رو Off کرده باشی!
اما بکمک تغییر دادن شماره پورت RDP و با دونستن اون فقط خودتون یا اون دسته از کاربرایی که بهشون این شماره پورد رو دادین می تونن این Session رو بر قرار کنند.
موفق باشید!
بله بسیار عالی کاملاً درسته، شما می تونید Policy مد نظرتون رو به OU ای که قبلاً تعریف کردین اعمال کنین و برای این کار هم فقط کافیه که به مسیر زیر برید:
Computer Configuration ==> Policies ==> Administrative Templates: ==> Windows Components ==> Remote Desktop Services ==> Remote Desktop Session Host ==> Connections
اگر شما Allow users to connect remotely using Remote Desktop Service را Enabled کنید ریموت کامپیوتر مورد نظر فعال و اگر Disabled کنید ریموت غیر فعال میشود.
با تشکر از کلیه دوستان
اقای مهندس صادق پور.من 20 تا سرور دارم هر سرور ادمین های خودشون و دارند.این داستان به کنار.
اما برای کاربران معمولی به نظرم بهترین راه اعمال پالسی برای OU فقط کاربران (نه مدیران) هستش.تو شبکه من امدم واسه مدیران OU جدا تعریف کردم.نظر شما چیه؟
ممنون
سلام.
اگر می خواید از طریق InfraStructure شبکه این کار رو انجام بدید، میشه با استفاده Extended ACLs در deviceهای سیسکو محدودیت موردنظرتون رو اعمال کنید.
سلام دوست عزیز
برای این کار چند تا راه وجود داره. یا این که بیاین و شماره پورت پیش فرض Remote Desktop رو عوض کنید، و یا این که از طریق Group Policy Management بیایید و Policy اعمال کنید که Remote زدن رو فقط برای گروه Administrator و یا گروه Remote Desktop Users تعریف کنید. حتی می تونید از طریق خود Firewall ویندوز هم داخل firewall with advanced security قسمت inbound rules مربوط به Remote Desktop رو Disable و دکمه رادیویی block the connection رو فعال کنید.
می تونید در DC خودتون از طریق اعمال یک GPO به صورت Default Domain User اون رو به کل کاربرانتون اعمال کنید. برای این کار هم فقط کافیه که بکمک کلید های ترکیبی Windows+R وارد منوی Run بشید و دستور gpmc.msc رو وارد کنید تا به GP های موجود در AD بتونید دسترسی داشته باشید.
راه دیگه ای که برای این کار برای شما وجود داره اینه که برای سیستم های خاصی که مد نظرتون هست بیاین Remote Desktop رو باز بذارین اما شماره Port اون رو عوض کنین تا فقط خودتون بتونید به اون دسترسی داشته باشید.
اما برای انجام دادن این کار هم میتونید به این ترتیب عمل کنید. مجدداً بکمک کلید های ترکیبی Windows+R وارد منوی Run سیستم بشید و دستور regedit رو وارد کنید تا ویرایشگر Registry باز بشه. حالا فقط کافیه که به مسیر زیر برید:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp
روی PortNumber دوبار کلیک کنید تا به حالت ویرایش تبدیل بشه
در قسمت Base روی Decimal کلیک کنید
در قسمت Value Data شماره ی پورت دلخواه را بنویسید و روی OK کلیک کنید
ویندوز را Restart کنید