Руководство по безопасности Windows Server 2008

Данное Руководство по безопасности Windows Server 2008 представляет собой официальный документ Microsoft, который дает конкретные инструкции и рекомендации по повышению безопасности серверов, на которых установлена операционная система Microsoft Windows Server 2008 и рабочих станций, подключенных к домену Active Directory на Windows Server 2008.

Данное Руководство по безопасности Windows Server 2008 представляет собой официальный документ Microsoft, который дает конкретные инструкции и рекомендации по повышению безопасности серверов, на которых установлена операционная система Microsoft Windows Server 2008 и рабочих станций, подключенных к домену Active Directory на Windows Server 2008. Кроме методологических принципов, данное руководство описывает инструменты, пошаговые процедуры, рекомендации и процессы, существенно упрощающие развертывание домена Windows Server 2008. В данном руководстве, помимо прочего, подробно описывается такой важный инструмент, как GPOAccelerator, с помощью которого можно выполнять сценарии, позволяющие автоматически создавать объекты групповой политики (Group Policy objects, он же GPOs), необходимые для реализации всех описанных в данном руководстве методов и способов повышения безопасности серверов в отдельности и домена на Windows Server 2008 в целом.

Данный документ описывает значительные улучшения в обеспечении безопасности, которые были внесенны в Windows Server 2008 и которые отличают данную операционную систему от операционных систем Microsoft, предыдущих поколений.

Руководство было разработано и протестировано на компьютерах с Windows Server 2008, объединенных в домен, использующий Службы каталогов Active Directory (Active Directory Domain Services, ADDS) и предназначено в первую очередь для специалистов, эксплуатирующих компьютеры с Windows Server 2008 и озабоченных проблемой повышения безопасности домена.

Год издания – 2008

Формат книги - PDF

Windows Server 2012 R2

Главная > book > Windows Server 2012 R2. Полное руководство (в 2-х томах), Минаси М. и др.

Предлагаемый двухтомник — универсальное руководство по Windows Server 2012 R2, поможет вам быстро освоить все новые средства и функции Windows Server 2012, включает реальные сценарии развертывания.

Основные темы этого двухтомника:

• новые возможности и установка Windows Server 2012 R2, включая Server Core;
• организация сетей и компоненты IP Address Management и DHCP Failover;
• Active Directory в Windows Server 2012 R2 и выполнение задач по управлению учетными записями;
• общее хранилище и кластеризация, создание и управление общими ресурсами, а также развертывание динамического управления доступом.

Вы основательно изучите следующие темы:

• Установка или модернизация и последующее управление сервера Windows Server 2012 R2
• Настройка объединения сетевых интерфейсных плат Microsoft NIC Teaming 2012 и работа с PowerShell
• Установка операционной системы через графический пользовательский интерфейс или обновленную версию Server Core 2012
• Миграция, слияние и модификация Active Directory
• Управление адресным пространством с помощью IPAM
• Новые общие хранилища, пространства хранения и улучшенные инструменты для работы с ними
• Управление доступом к общим файлам — новый и усовершенствованный подход
• Использование и администрирование Remote Desktop, Virtual Desktop и Hyper-V

• научитесь планировать, устанавливать и управлять сервером Windows Server 2012 R2;
• ознакомитесь с советами и пошаговыми руководствами от гуру по Windows Марка Минаси и его команды экспертов;
• узнаете, что появилось нового в Active Directory и PowerShell;
• освоите виртуализацию с помощью усовершенствованных возможностей Hyper-V и VDI;
• переведете управление хранилищем на новый качественный уровень;
• закрепите свой уровень знаний на реальных примерах.

В книге идентифицированы наиболее важные усовершенствования R2 и подробно описаны шаги по установке и конфигурированию этой ОС. Приводится исчерпывающее описание всех аспектов Microsoft Windows Server 2012 R2.

Авторы книги «Windows Server 2012 R2 Полное руководство. Том 2: дистанционное администрирование, установка среды с несколькими доменами, виртуализация, мониторинг и обслуживание сервера» предлагают развернутое описание всех инноваций Server 2012 R2 и в каждой главе приводят многочисленные полезные советы и трюки, основанные на сотнях внедрений, которые позволяют максимально эффективно решать бизнес-задачи с помощью Windows Server 2012 R2

Если вы — системный администратор, которому необходимо модернизировать, перейти или управлять Windows Server 2012 R2, то в этом полном пособии вы найдете все, что нужно.

Скачать Windows Server 2012 R2. Полное руководство (в 2-х томах)(146 Mb)

Админу на заметку - 9

Автор: Уваров А.С. — 25.04.2013 00:48 |

Как показывает практика, многие администраторы не знают, как отключить конфигурацию усиленной безопасности Internet Explorer в серверных ОС семейства Windows, предпочитая установку альтернативных браузеров. Однако данное решение нельзя назвать оптимальным, так как, в отличие от IE, сторонние браузеры не позволяют централизованно управлять своими настройками, что представляет потенциальную угрозу безопасности. В тоже время конфигурация усиленной безопасности отключается очень просто.

Конфигурация усиленной безопасности Internet Explorer - вещь крайне специфичная, настолько специфичная, что пользоваться ею практически невозможно. Нет, идея безусловно хорошая, но вот реализация.

Данная настройка успешно затрудняет доступ даже к родному сайту компании, из-за чего попытка скачать патч, обновление или какой-либо компонент превращается в нетривиальную задачу с добавлением всего, чего только можно в зону доверенных узлов.

Неудивительно, что многие предпочитают первым делом поставить сторонний браузер. Но не спешите, данную настройку очень легко отключить.

Открываем оснастку Установка и удаление программ. переходим в раздел Установка компонентов Windows и снимаем галочку с компоненты Конфигурация усиленной безопасности Internet Explorer .

Открываем Диспетчер сервера. переходим на самый верхний (одноименный) уровень дерева и справа находим ссылку Настроить конфигурацию усиленной безопасности Internet Explorer .

Данная ОС предлагает нам выбор: отключить настройку можно для Администраторов и/или Пользователей, что бывает полезно, если последние имеют доступ к серверу, например в терминальной сессии. Также следует помнить, что если вы хотите отключить конфигурацию усиленной безопасности Internet Explorer для пользователей сервера терминалов, то лучше это сделать прежде, чем будет поднята роль терминального сервера.

Windows Server 2012

Дизайн Диспетчера сервера в данной версии Windows Server претерпел значительные изменения. Теперь он называется Диспетчер серверов и позволяет управлять как локальным, так и удаленным сервером. Переходим в раздел Локальный сервер и в правой колонке находим ссылку Конфигурация усиленной безопасности Internet Explorer. Дальше все точно также как и в предыдущей версии ОС, мы можем отдельно задать настройки для Администраторов и Пользователей.

Теперь при запуске браузера он будет уведомлять вас, что Конфигурация усиленной безопасности Internet Explorer выключена и снабжать подробными инструкциями по ее включению.

При этом не стоит забывать, что сервера гораздо более подвержены атакам из интернета и последствия таких атак могут иметь гораздо более тяжелые последствия, поэтому старайтесь ограничить использование интернета на серверах разумным минимумом и посещением только доверенных ресурсов.

Руководство по обеспечению безопасности ISA Server 2006

Хотя многие специалисты по ИТ полагаются на ISA Server 2006 для защиты своих технологических активов, немногие специалисты также защищают и сам ISA Server. Если вы недавно установили ISA Server 2006, то можете помнить напоминание о немедленном выполнении после завершения установки. К сожалению, многие специалисты по ИТ нечасто уделяют (или имеют) время на выполнение этого важного этапа, и поэтому он оказывается в списке дел, которые не выполняются никогда.

В сегодняшних постоянно меняющихся условиях безопасности такое отсутствие защиты ISA Server более неприемлемо. К счастью, средства для обеспечения защиты ISA Server значительно улучшились. Больше вам не придется бороться с множеством трудностей в мастерах повышения безопасности, входивших в состав ISA Server до выпуска ISA Server 2004. Вместо этого можно полагаться на строго определенные этапы и средства, такие как мастер настройки безопасности (SCW), входящий в состав Windows Server® 2003.

В данной статье представлен краткий обзор общих рекомендаций по обеспечению защиты серверов. Затем будут подробно рассмотрены стратегии повышения безопасности самого сервера ISA Server, использующие мастер настройки безопасности с целью уменьшить число возможностей для атаки сервера ISA Server и административные роли для ограничения доступа к ISA Server.

Существует множество элементов и практических рекомендаций, относящихся к обеспечению защиты серверов, находящихся в центре обработки данных или в серверном помещении рядом с вашим кабинетом. Вы как администратор несете ответственность за знание этих рекомендаций и выполнение всего возможного для соблюдения этих требований наиболее практичным для организации способом. С повышением внимания к безопасности в последние годы многие из нас довольно хорошо ознакомились с задачами, образующими основу эти требований, поэтому я не буду описывать очевидное, а лишь приведу краткий обзор.

Первое, что необходимо предпринять для защиты вашей среды, – это обеспечить физическую защиту серверов. На практике это означает необходимость ограничения физического доступа к серверам. В небольших средах это означает запирание двери серверной комнаты и определение ограниченного числа лиц, имеющих к ней доступ. В более крупных средах эти основные требования практически не изменяются, но способ их выполнения более сложен. Например, множество организаций используют электронное наблюдение. Это позволяет контролировать вход в помещение с серверами и даже ограничивать доступ к отдельным стойкам и отсекам в зависимости от должностных обязанностей.

При предотвращении возможности кражи или физической компрометации сервера ISA Server или сервера хранилища настроек ISA необходимо учитывать ряд уникальных факторов. Характер данных, которые могут быть получены с украденного сервера, потенциально подвергает риску все серверы ISA Server и трафик (включая зашифрованный) в вашей среде.

При возникновении подозрений на компрометацию сервера, его кражу и иные подобных угрозы необходимо немедленно убрать сервер (если он еще находится в месте эксплуатации) и выполнить стандартные процедуры фиксации улик. После выполнения этих необходимых действий следует приступить к изменению всей конфиденциальной информации — все установленные на сервере сертификаты должны быть отозваны, а все предварительные ключи и общие секреты должны быть изменены. Кроме того, при наличии реплики сервера хранилища настроек все данные, относящиеся к скомпрометированному серверу, должны быть удалены.

Следующим действием после обеспечения физической защиты серверов является внедрение структурированной методики установки исправлений для всего программного обеспечения, включая уровень виртуализации, операционную систему и приложения. Следует регулярно проверять и устанавливать доступные исправления и обновления. Но до установки в рабочих системах эти обновления должны проходить тестирование. Установка исправления не приведет ни к чему хорошему, если оно станет причиной проблемы, компрометирующей приложение или целостность данных.

При компрометации целостности данных следует полагаться на резервные копии. Это приводит к другому ключевому элементу защиты инфраструктуры. Если невозможно быстро и полностью восстановить данных в случае возникновения такой необходимости, простой может оказать значительное влияние на эксплуатацию, что в результате приведет к увеличению затрат, связанных со вторжением.

Два других элемента, которые необходимо принять во внимание, – это аудит и наблюдение. Наблюдение за приложениями и системами – исключительно важные части любого успешного плана безопасности. Если не уделять время изучению журналов, в частности, журналов, относящихся к безопасности, вряд ли можно вообще обнаружить попытки вторжения до фактического нанесения ущерба.

Не менее важным является аудит. Во многих организациях, особенно в больших, он часто формализован и даже может требоваться по закону. В любом случае, чтобы ваши действия были эффективными, необходимо регулярно проверять механизмы и методики, используемые для защиты активов организации, независимо от ее размера.

Наконец, поскольку ISA Server 2006 работает под управлением Windows Server® 2003, важно изучить руководство по безопасности Windows Server 2003 и выполнить необходимые рекомендации. Руководство по безопасности Windows Server 2003 доступно на веб-узле microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx .

В данный момент корпорация Майкрософт рекомендует применение шаблона Baseline Security Policy, но не следует реализовывать какие-либо фильтры IPsec.

Так как же сделать сервер ISA Server более безопасным? Основное средство обеспечения защиты ISA – мастер настройки безопасности (SCW). Это средство уменьшения возможностей для атаки. Мастер создает политики безопасности для служб, сетевой безопасности, реестра и политики аудита сервера, настраивая систему только для необходимых служб и функций. Необходимо заметить, что следует настраивать только те службы ISA Server, которые вы собираетесь использовать. Например, служба веб-прокси включена по умолчанию, но если ее использование не планируется, ее следует отключить. Таким образом, необходимо уделять особое внимание доступным вариантам настройки, представляемым мастером настройки безопасности.

Мастер SCW по умолчанию не входит в состав Windows Server 2003, поэтому первым действием является его самостоятельная установка с помощью апплета «Добавление и удаление компонентов Windows®» панели управления «Установка и удаление программ». (Обратите внимание, что мастер SCW в Windows Server 2008 установлен по умолчанию.) После появления окна «Компоненты Windows» установите флажок для мастера настройки безопасности.

По завершении установки приложение становится доступным в меню «Администрирование». До начала использования мастера необходимо обновить SCW, загрузив обновление для ISA Server 2006 (доступно по адресу go.microsoft.com/fwlink/?LinkId=122532 ). Это обновление служит для добавления ролей для ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition и сервера хранилища настроек ISA Server.

После загрузки обновления необходимо запустить пакет и извлечь из него файлы. После извлечения этих файлов скопируйте два файла XML (isa.xml и isaloc.xml) в папку kbs в SCW — в установке Windows Server по умолчанию это будет папка c:\windows\security\msscw\kbs.

При копировании файлов появится запрос на подтверждение перезаписи двух существующих файлов с такими же именами. Эти файлы для ISA Server 2004, поэтому до их перезаписи необходимо сделать их резервную копию. Заключительный этап – копирование файла isascwhlp.dll в папку bin, которая обычно расположена по адресу c:\windows\security\msscw\bin. После завершения добавления ролей ISA к мастеру SCW вы будете готовы к началу установки.

Как правило, корпорация Майкрософт рекомендует запускать мастер SCW только после завершения настройки ISA Server. При работе с Enterprise Edition это означает настройку всех массивов и всех членов массивов.

Первым этапом является запуск мастера SCW из средств администрирования — необходимо помнить, что для успешного запуска мастера SCW необходимы права администратора.

На рис. 1 показан первый экран мастера. Если прочитать текст на экране, в частности, предупреждение «Этот мастер определяет входящие порты, прослушиваемые этим сервером», можно понять причину важности полной настройки сервера ISA Server и массивов до начала данного процесса.

Рис 1. Запуск мастера настройки безопасности

Без полной настройки вашей среды будет велика вероятность необходимости пересмотреть настройку SCW после завершения настройки ISA Server. На следующем экране, показанном на рис. 2. запрашивается действие для выполнения. Необходимо выбрать пункт «Создать новую политику безопасности».

Рис 2. Создание новой политики безопасности

После этого появится запрос на выбор сервера, который будет служить базовым для политики. Поскольку выполняется создание новой политики, по умолчанию выбрано использование компьютера, на котором запущен мастер SCW. Однако это поведение изменяется в зависимости от действия, выбранного для выполнения на предыдущем экране. В любом случае рекомендуется устанавливать мастер SCW на сервере, который будет использоваться в качестве базового. Если SCW не установлен на целевом сервере, будет отсутствовать информация, используемая для завершения создания политики. Поэтому, чтобы не усложнять жизнь, установите и запустите мастер SCW с сервера, который будет базовым.

При нажатии кнопки «Далее» мастер SCW начнет процесс анализа ISA Server. Этот анализ включает определение установленных на сервере ролей, ролей, которые, скорее всего, установлены на сервере, установленных служб и основных сетевых данных. После завершения процесса можно просмотреть базу данных, выбрав «Просмотр базы данных». В базе данных настройки содержится множество данных, в том числе все поддерживаемые роли серверов, функции клиента и порты.

После этого мастер SCW приступит к процессу настройки служб на основе ролей. После нажатия кнопки «Далее» появится следующий экран с запросом на выбор ролей сервера, как показано на рис. 3. Первоначальный выполняемый мастером SCW поиск является надежным, и вы увидите, что верные роли сервера уже определены. Однако очень важно еще раз проверить и удалить ненужные роли. Если сервер выполняет несколько ролей, убедитесь в том, что выбраны все соответствующие роли.

Рис. 3 Указание ролей сервера

При использовании ISA Server 2006 Enterprise Edition важно помнить, что необходимо учитывать сервер хранилища настроек. Если сервер хранилища настроек установлен на сервере, также выступающем в качестве сервера ISA Server (это, между прочим, противоречит рекомендациям, но, тем не менее, часто используется), необходимо убедиться в том, что выбрана роль сервера хранилища настроек. Не следует использовать проверку базовых показателей сервера, на котором размещены обе роли, но в действительности размещается только роль сервера ISA Server 2006.

Далее появится запрос на выбор клиентских функций сервера. Другими словами, необходимо указать требуемые сервером службы. Например, почти для всех серверов требуется клиент DNS, а если сервер является членом домена, для него будет требоваться функция члена домена.

После выполнения этих этапов появится экран «Параметры управления и другие параметры». На нем указываются параметры приложения, администрирования и операционной системы, используемые службами или полагающиеся на сетевое подключение. Все не выбранные к этому моменту службы будут отключены. Но после внесения изменений и нажатия кнопки «Далее» можно будет выбрать любые дополнительные службы, которые нужно разрешить.

После этого мастер приступит к настройке способа обработки неуказанных служб. Это позволяет определить действия при применении политики в случае обнаружения служб, не включенных в основную базу данных или установленных на базовом сервере. В соответствии с общей рекомендацией следует выбрать отключение неуказанных служб, поскольку это ограничит все непредвиденные направления атаки. К сожалению, это может иметь негативные последствия при сильной несхожести серверов; также необходимо помнить об этом параметре при добавлении каких-либо приложений или сетевых служб в будущем.

На следующем экране мастера, показанном на рис. 4. можно просмотреть службы, измененные мастером SCW. На этом экране подтверждения содержится сравнительное представление текущего состояния и измененного состояния после применения политики.

Рис. 4. Просмотр и подтверждение изменений служб

После подтверждения служб для изменения выполняется переход к разделу «Сетевая безопасность». Именно в нем мастер SCW обычно позволяет изменять параметры брандмауэра Windows и IPsec. Но, поскольку выполняется настройка сервера ISA Server 2006, остается лишь пропустить этот раздел, как показано на рис. 5 .

Рис 5. Пропуск последних параметров сетевой безопасности

После этого мастер переходит к настройке параметров реестра, относящихся к безопасности и методам проверки подлинности сети. На первом экране в этом разделе указано подписывание SMB. Протокол SMB – это основной сетевой протокол Microsoft, а эти параметры обеспечивают возможность подписанной связи для снижения вероятности атак типа «злоумышленник в середине».

Параметры по умолчанию, как показано на рис. 6. обеспечивают высокую безопасность связи по SMB для ISA Server. Но необходимо учитывать влияние подписывания всей связи. При отсутствии свободной процессорной мощности следует снять второй флажок. Также не забудьте подумать обо всех серверах, для которых будет применена политика, — при наличии серверов с различными рабочими нагрузками для решения вопроса об установке этого флажка необходимо руководствоваться сервером с самым высоким потреблением ресурсов.

Рис. 6. Указание необходимости подписанной связи

Следующий набор экранов относится к уровню LMCompatibility, который должен использоваться сервером ISA Server. На первом из этих экранов представлено три варианта. Необходимо оставить выбранный по умолчанию вариант «Учетные записи в домене», если только не используются устаревшие операционные системы Windows (такие как Windows 95 или Windows 98) или если для управления доступом используются локальные учетные записи.

На втором экране, относящемся к уровню LMCompatibility, указываются сведения о контроллерах доменов. При отсутствии доменов Windows NT® 4.0 можно оставить выбранный вариант по умолчанию (Операционные системы Windows NT 4.0 с пакетом обновления 6a или более поздние версии ОС). В этом диалоговом окне также следует установить флажок синхронизации часов с часами выбранного сервера. После нажатия кнопки «Далее» можно будет установить ряд дополнительных параметров настройки для входящей связи LAN Manager (LM), как показано на рис. 7.

Рис. 7. Указание методов проверки подлинности для входящей связи

На третьем экране, относящемся к уровню LMCompatibility, определяется необходимость LAN Manager (NTLM) версии 2 Windows NT и сохранение хеш-кодов LM. Необходимо убедиться в том, что эти флажки не установлены, при условии, что ваша среда поддерживает такую настройку, поскольку снятие этих флажков ведет к значительному повышению безопасности. После этого появится окно «Сводка параметров реестра». Просмотрите все записи и подтвердите правильность параметров политики.

Далее мастер переходит к последнему разделу — аудиту. Важно отметить, что изменения параметров настройки, выполненные в данном разделе, не могут быть отменены. Но, поскольку аудит не влияет на функциональность системы, не следует пропускать этот раздел.

Вариант по умолчанию «Выполнять аудит успешных действий» не предоставляет записи журнала событий для ошибок входа в систему. Однако сведения об ошибках входа в систему могут предоставить ценные данные о попытках вторжения. Поэтому, как правило, рекомендуется выбрать «Выполнять аудит как успешных, так и неуспешных действий».

После этого можно проверить настройку аудита и дважды нажать кнопку «Далее», чтобы сохранить политику безопасности. На этом экране, показанном на рис. 8. требуется только указать имя файла; однако также можно ввести краткое описание. Это описание может быть полезным в больших средах, в которых обязанности по обеспечению безопасности разделяются между несколькими администраторами.

Рис 8. Указание имени и описания для политики безопасности

После сохранения файла можно применить политику немедленно или сделать это позднее. Если принято решение выбрать применение политики позже, процесс завершен. При обнаружении ошибок в настройке политики можно выполнить ее откат, за исключением параметров аудита.

Снижение количества возможных направлений для атаки сервера ISA Server – важный этап для уменьшения потенциальных нарушений из внешних источников. Однако также важно проверить назначение административных ролей в ISA Server для ограничения возможности компрометации из внутренних источников. Административные роли и неполный список типичных соответствующих задач показаны на рис. 9 и 10.

Рис. 9. Роли и соответствующие задачи в выпуске Standard Edition

Как видите, административные задачи, связанные с ISA Server, значительно сегментированы. Это, в свою очередь, должно упростить назначение верных ролей пользователям в организации.

Кроме того, необходимо помнить, что наилучшим способом назначения ролей является использование концепции минимальных полномочий. Каждый определенный пользователь должен иметь только минимальный объем полномочий, необходимый для выполнения своей работы.

Также важно помнить, что члены локальной группы «Администраторы» в ISA Server 2006 Standard Edition имеют такие же права, как и полный администратор ISA Server. В Enterprise Edition члены локальной группы «Администраторы» на сервере с ролью сервера хранилища настроек имеют полный контроль над настройкой Enterprise. Это означает, что необходимо внимательно проверить членство в группе «Администратора домена», предполагая, что сервер ISA Server является членом домена, а также во всех остальных группах, являющихся членами локальной группы «Администраторы».

Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER

Удаленный рабочий стол windows server 2012 r2

Добрый день, уважаемые читатели моего блога. В этой статье я рассказываю, как происходить настройка rdp windows server 2012 r2. Во всех операционных системах windows настройка rdp довольно простая задача, но конечно есть особенности, я расскажу и покажу, как настроить rdp в windows 2012 r2.

Я уже рассказывал, как включить удаленный рабочий стол (rdp) удаленно тут. А также рассказывал, как поменять стандартный порт rdp 3389 на любой другой. Теперь давайте посмотрим, как собственно происходит настройка rdp на winows server 2012, также полезно будет почитать как подключиться к удаленному рабочему столу windows 10 .

Хочу напомнить, что rdp - это remote desktop protocol или если по-русски протокол удаленного рабочего стола. Давайте перейдем к настройке.

Итак, первым делом нам надо включить remote desktop в server 2012 r2. Выполним следующие простые шаги:

1. Запускаем оснастку Server Manager (сделать это можно кликнув по кнопке прикрепленной на панели задач):
2. В результате откроется окно настроек, Server Manager. Нам необходимо перейти в раздел Local Serve (слева). Откроется окно настроек сервера. Необходимо найти среди всех настроек пункт Remote Desktop, щелкнуть по значению Disabled.
3. В результате нажатия значения Disabled, откроется окно включения rdp. Необходимо выбрать следующие значение: Allow remote connections to this computer. Галочка - Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended) означает, что подключиться по RDP можно будет только с компьютеров, у которых есть поддержка Network Level Authentication (проверка подлинности на уровне сети). Если простым языком, то вы не сможете подключиться к этому компьютеру по rdp с Windows XP и windows 2003 (если использовать бубен, то сможете). Так что можете эту галку оставить включенной.
4. Нажимаем ОК. Все, после этого ваш компьютер доступен по RDP. Но есть особенность с FireWall. Он может блокировать подключения, читаем ниже.

Читайте также: Несколько простых способов удалить пользователя в windows 10.

Итак, вы включили rdp, по инструкции выше, но подключиться так и не можете к компьютеру. По умолчанию, в Windows есть разрешающие правила rdp в FireWall. После включения remote desktop эти правила активируются. Но есть одно но, включаются правила только для сетей Domain и Private, и если ваш компьютер находится в сети Public то вы не сможете подключиться по rdp. Надо эти правила активировать.

Вот собственно и все, на этом настройка rdp windows server 2012 r2 завершена. Можете спокойно подключаться к своему серверу. Как это сделать в Windows Xp написано в моей статье - 7.1 rdp клиент для windows xp.

Если у вас остались вопросы, замечания, или какая-то критика, то прошу оставлять их в комментариях. С вашей помощью буду приводить статьи к идеальному виду. Надеюсь, вы нашли ответ на свой вопрос.

С уважением, Александр Глебов.

С уважением, Александр Глебов

Обеспечение безопасности Windows Server 2008

Этот материал содержит базовые рекомендации по обеспечению безопасности серверов под управлением Microsoft Windows Server 2008/2012:

Поддержание операционной системы и установленного ПО в актуальном состоянии, помимо устранения неисправностей в работе программ, помогает обеспечить защиту вашего сервера от части уязвимостей, о которых стало известно разработчикам до момента выхода апдейта. Вы можете настроить Windows на автоматическую загрузку (установку) важных и рекомендуемых обновлений через утилиту «Центр обновления Windows» .

Несмотря на распространенность качественных программных open-source продуктов, доступных «в один клик», призываем вас изучить известные уязвимости такого ПО перед его установкой и использовать для загрузки дистрибутивов только официальные источники. Именно самостоятельная установка администратором или пользователем уязвимого или уже «упакованного» вирусным кодом софта зачастую является причиной проблем с безопасностью инфраструктуры.

Для серверов Windows Server, доступных через интернет и при этом не находящихся за выделенным устройством, выполняющим функцию фаерволла, Брандмауэр Windows является единственным инструментом защиты внешних подключений к серверу. Отключение неиспользуемых разрешающих и добавление запрещающих правил будет означать, что меньше портов на сервере прослушивают внешний входящий трафик, что снижает вероятность атак на эти порты. Например, для работы стандартного веб-сервера достаточно открыть следующие порты:
80 – HTTP
443 - HTTPS

Для портов, доступ к которым должен оставаться открытым, следует ограничить круг источников подключения путем создания «белого списка» IP-адресов, с которых будут приниматься обращения. Сделать это можно в правилах Брандмауэра Windows. Это обеспечит уверенность в том, что у всех, кому требуется доступ к серверу, он есть, но при этом запрещен для тех, кого «не звали».

Ниже представлен список портов, доступ к которым лучше ограничить только кругом клиентов, внесенных в белый список IP:

3389 – Стандартный порт RDP
990 – FTPS
5000-5050 – порты для работы FTP в пассивном режиме
1433-1434 – стандартные порты SQL
53 – DNS

Т.к. стандартная запись локального администратора «Administrator» по-умолчанию включена во всех сегодняшних версиях ОС Windows и имеет неограниченные полномочия, именно к этому аккаунту чаще пытаются подобрать пароль для получения доступа к управлению сервером, т.к. это проще, чем выяснять имена пользователей.

Рекомендуется сменить имя пользователя для стандартной учетной записи Adminstrator. Для этого выполните следующие действия:

1. Откройте оснастку «Выполнить» (WIN+R). в появившемся окне введите: secpol.msc
2. Откройте Редактор локальной политики безопасности. В меню выберите Локальные политики -> Параметры безопасности -> Учетные записи: Переименование учетной записи администратора
   
   
3. Во вкладке Параметр локальной безопасности измените имя учетной записи администратора на желаемое и сохраните изменения.

Если в администрировании вашей инфраструктуры задействовано несколько человек, создайте для каждого из них отдельную учетную запись с административными правами. Это поможет отследить, кто именно санкционировал то ли иное действие в системе.

Для выполнения задач, не требующих прав администратора, желательно использовать учетную запись обычного пользователя. В случае проникновения в систему, в т.ч. в результате действий самого пользователя, уровень уязвимости сервера останется на уровне полномочий этого пользователя. В случае же получения несакционнированного доступа к аккаунту администратору получит и неограниченный доступ к управлению системой.

Никогда не разрешайте подключение к общим папкам сервера без ввода пароля и анонимный доступ. Это исключит возможность простого получения несакционированного доступа к вашим файлам. Даже если эти файлы сами по себе не имеют никакой ценности для злоумышленника, они могут стать «окном» для дальнейшего вторжения, так как пользователи вашей инфраструктуры, вероятнее всего, доверяют этим файлам и вряд ли проверяют их на вредоносный код при каждом запуске.

Помимо обязательного использования пароля, желательно разграничить права доступа к общим директориям для их пользователей. Значительно проще установить ограниченные права пользователям, которым не требуется полный доступ (запись/чтение/изменение), нежели следить за тем, чтобы ни один из клиентских аккаунтов впоследствии не был скомпрометирован, что может повлечь за собой неблагоприятные последствия и для других клиентов, обращающихся к общим сетевым ресурсам.

Если вы используете физический сервер Windows, настоятельно рекомендуем включить запрос пароля пользователя при выходе из режима ожидания. Сделать это можно во вкладке «Электропитание» Панели управления (область задач страницы «Выберите план электропитания» ).

Помимо этого, стоит включить запрос ввода пароля пользователя при подключении к сессии после установленного времени ее бездействия. Это исключит возможность простого входа от имени пользователя в случае, когда последний, например, забыл закрыть RDP-клиент на персональном компьютере, на котором параметры безопасности редко бывают достаточно стойкими. Для конфигурации этой опции вы можете воспользоваться утилитой настройки локальных политик secpol.msc. вызываемой через меню «Выполнить» (Win+R->secpol.msc).

Мастер настройки безопасности (SCW – Security Configuration Wizard ) позволяет создавать XML-файлы политик безопасности, которые затем можно перенести на различные серверы вашей инфраструктуры. Эти политики включают в себя правила использования сервисов, конфигурацию общих параметров системы и правила Firewall.

Помимо предварительной настройки групповых политик Active Directory (при их использовании) время от времени проводите их ревизию и повторную конфигурацию. Этот инструмент является одним из основных способов обеспечения безопасности Windows-инфраструктуры.

Для удобства управления групповыми политиками, вы можете использовать не только встроенную в дистрибутивы Windows Server утилиту «gpmc.msc». но и предлагаемую Microsoft утилиту «Упрощенные параметры настройки безопасности» (SCM-Security Compliance Manager). название которой полностью описывает назначение.

Помимо использования групповых политик безопасности Active Directory следует также использовать локальные политики, так как они затрагивают не только права пользователей, выполняющих вход через доменную учетную запись, но и локальные аккаунты. Для управления локальными политиками вы можете использовать соответствующую оснастку «Локальная политика безопасности». вызываемую командой secpol.msc («Выполнить» (WIN+R)) .

Эта мера является весьма очевидной, но она не должна игнорироваться. Для блокировки подключений к удаленным рабочим столам пользователю, пароль для которого не указан, откройте утилиту «Computer Configuration» -> «Настройки Windows» -> «Настройки безопасности» -> «Локальные политики безопасности -> «Параметры безопасности» и включите (Enable ) параметр «Учетные записи: Разрешить использование пустых паролей только при консольном входе(Accounts: Limit local account use of blank passwords to console logon only).

1. Откройте редактор реестра (regedit)
2. Для перестраховки сделайте резервную копию текущего состояния реестра (Файл->Экспорт)
3. Открываем ветку: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
4. Найдите параметр Port Number, дважды кликните по нему, в открывшемся окне выберите десятичную систему исчисления из измените поле Значение на желаемый порт.
   
   
5. Нажмите ОК и закройте редактор ресстра
6. Обратите внимание на ваши правила Firewall (Брандмауэр Windows). Они должны разрешать внешние подключения по установленному выше порту. Для добавления разрешающего правила выполните следующее:
   - Откройте Брандмауэр Windows
   - В левой части окна программы выберите «Дополнительные параметры». а затем «Правила для входящих подключений». и нажмите «Создать правило»
   
   - В появившемся окне Мастера выберете правило «Для порта»
   - Далее указываем «Определенный локальный порт TCP: <номер выбранного вами выше порта>». Нажимаем готово.
7. Перезагружаем сервер для применения изменений.
8. Для подключения к серверу через установленный вручную порт необходимо на локальной машине ввести номер порта после IP-адреса сервера, разделив эти значения двоеточием, в окне подключения к удаленному рабочему столу, как показано на изображении:
   
   

Служба «Шлюз TS (служб удаленных рабочих столов)» позволяет удаленным пользователям осуществлять удаленное подключение к терминальным серверам и другим машинам частной сети с включенной функцией RDP. Она обеспечивает безопасность подключений за счет использования протокола HTTPS (SSL). снимая с администратора необходимость настройки VPN. Этот инструмент позволяет комплексно контролировать доступ к машинам, устанавливать правила авторизации и требования к удаленным пользователям, а именно:

• пользователей (группы пользователей), которые могут подключаться к внутренним сетевым ресурсам;
• сетевые ресурсы (группы компьютеров), к которым пользователи могут подключаться;
• должны ли клиентские компьютеры быть членами групп Active Directory;
• необходимо ли клиентам использовать проверку подлинности на основе смарт-карт или пароля, или они могут использовать любой из двух вышеперечисленных способов аутентификации.

Само собой, логика работы шлюза удаленных рабочих столов подразумевает использование для него отдельной машины. При этом это не означает, что нельзя использовать виртуальную машину, развернутую на любом из хостов в вашей частной сети.

Для установки шлюза служб терминала на соответствующей машине под управлением Windows Server 2008/2012 выполните следующие действия:

1. Откройте утилиту Server Manager (Управление сервером) -> вкладка Роли -> Добавить роль
2. На странице выбора ролей сервера выберите Службы терминала (Службы удаленных рабочих столов)
3. В окне выбора служб ролей выберите Шлюз TS (Шлюз служб удаленных рабочих столов) и нажмите Далее
4. На странице выбора сертификата аутентификации сервера для шифрования SSL выберите опцию Выбрать сертификат для SSL-шифрования позже. Этот выбор обусловлен тем, что соответствующий сертификат шлюза TS еще не сгенерирован.
   

На странице выбора служб ролей должна быть отмечена служба Сервер сетевой политики (Network Policy Server)
Создание сертификата для шлюза служб удаленных рабочих столов

Для инициирования SSL-подключений от клиентов RDP, для шлюза должен быть создан соответствующий сертификат:

1. В меню Администрирование выберите оснастку IIS Manager
2. В левой части появившегося окна выберите необходимый сервер, а затем пункт Сертификаты сервера -> Создать сертификат домена
   
   
3. На странице Определенные свойства имени укажите требуемые сведения. Обратите внимание на поле Общее имя – оно должно соответствовать имени, указанному в настройках клиентов служб RDP.
4. На следующей странице Интерактивный центр сертификации выбираем имя Enterprise CA. от имени которого должен быть выдан сертификат, и вводим значение параметра Сетевое имя .

Теперь сведения о созданном сертификате отображаются в окне Сертификаты сервера. При двойном клике на этом сертификате можно увидеть информацию об объекте назначения и о наличии закрытого ключа для данного сертификата (без которого сертификат не используется).

Настройка шлюза TS на использование сертификата

После создания сертификата, необходимо настроить шлюз терминалов на его использование:

1. Откройте меню «Администрирование». выберите «Службы терминалов (удаленных рабочих столов)». выберите Шлюз терминальных серверов .
2. Слева выберите сервер, которой будет выполнять роль шлюза. Будет отображена информация о шагах, необходимых для завершения конфигурации.
   
   
3. Выберите опцию «Показать или изменить свойства сертификата» .
4. Во вкладке «SSL Сертификат» проверьте активность опции «Выбрать существующий сертификат для SSL шифрования» и выберите Просмотр сертификатов для отображения оснастки для установки сертификатов. Выберите и установите ранее сгенерированный сертификат.
   
   
5. После указания сертификата следует настроить политики авторизации подключений и авторизации ресурсов. Политика авторизации подключения (CAP - Сonnection Authorization Policy) позволяет контролировать полномочия клиентов при их подключении к терминалам через шлюз:
   
   Откройте меню «Политики авторизации соединений». находящуюся во вкладке «Политики» - > «Создать новую политику» -> Мастер(Wizard). на вкладке «Политики авторизации» -> выберите Cоздать только TS CAP. Вводим имя создаваемой политики. В нашем случае «1cloud Gateway». На вкладке «Требования» активируем требование пароля, а затем указываем группы пользователей, которым необходимо предоставить доступ в инфраструктуру терминалов – введите имя добавляемой группы и кликните «Проверить имена (Check Names)».
   

Разрешите перенаправление устройств для всех клиентских устройств. Вы также можете отключить перенаправление для некоторых типов уст-в. На странице Результаты параметров TS CAP проверяем выбранные ранее параметры и завершаем мастер конфигурации.

Теперь настройте политику авторизации ресурсов (Resource Authorization Policy – RAP). определящую доступные для подключения извне серверы и рабочие станции:
Для этого перейдите в меню «Политика авторизации ресурсов» панели Менеджер шлюзов серверов терминалов (удаленных рабочих столов), выберите пункт «Создать новую политику» -> Мастер -> Создать только TS RAP.

Введите имя создаваемой политики. Во вкладке Группы пользователей выберите группы, затрагиваемые создаваемой политикой. На вкладке Группа компьютеров укажите серверы и рабочие станции, к которым применяется политика RAP. В данном примере мы выбрали опцию «Разрешить пользователям подключаться к любому ресурсу (компьютеру) сети» для разрешения подключений ко всем хостам сети. Проверьте параметры TS RAP и завершите мастер конфигурации.

Для обеспечения безопасности подключений по RDP в случае, когда соединение с сервером осуществляется не через VPN, рекомендуется использовать SSL/TLS-туннелирование соединения.

Опцию RDP через TLS можно включить через групповую политику безопасности сервера удаленных рабочих столов (команда gpedit.msc или меню «Администрирование» -> «Компоненты Windows» -> Сервер удаленных рабочих столов (Remote Desktop Session» -> «Безопасность»). где необходимо активировать опцию запроса определенного уровня безопасности для удаленных подключений (Require use of specific security layer for remote connections). Рекомендуемое значение этой опций – SSL (TLS 1.0) only.

Также включить вышеуказанную опцию можно и через меню управления сервером удаленных рабочих столов (Remote Desktop Session Host Configuration). выбрав из списка Connections требуемое подключение и перейдя в его свойства, где выбрать уровень безопасности «Security Level». Для TLS-шифрования сессий потребуется, по крайней мере, серверный сертификат. Как правило он уже есть в системе (генерируется автоматически).

Для настройки TLS-туннелирования RDP-подключений откройте инструментов «Управление сервером удаленных рабочих столов (Remote Desktop Session Host Configuration)» через меню «Администрирование» -> Подключения к удаленным рабочим столам».

Выберите в списке подключений то, для которого требуется настроить защиту SSL/TLS и откройте его свойства (Properties). Во вкладке «Общие» (General) выберите требуемый уровень шифрования (Encryption Level). Рекомендуем использовать RDP FIPS140-1 Encryption.

Одна из основных задач предварительного планирования безопасности серверной инфраструктуры заключается в диверсификации рисков поражения критически важных сегментов инфраструктуры при успешных атаках на отдельные узлы. Чем больше ролей берет на себя каждый узел, тем более привлекательным объектом для атак он становится и тем более серьезные последствия может иметь поражение этого узла. Для минимизации таких рисков необходимо, во-первых, разграничивать критически важные роли серверов на стадии развертывания инфраструктуры (при наличии такой возможности), а во-вторых, отключать на серверах сервисы и роли, в использовании которых нет реальной необходимости.

В идеале, один сервер должен выполнять одну конкретную функцию (Контроллер домена, файловый сервер, терминальный сервер и т.д.). Но так как на практике такая диверсификация ролей редко оказывается возможной в полной мере. Тем не менее, вы можете разграничить функции машин настолько, насколько это возможно.

Для изоляции ролей необязательно использовать выделенные серверы для каждой конкретной задачи. Вы вполне можете использовать для части ролей виртуальные машины, настроив параметры их безопасности требуемым образом. На сегодняшний день технологии виртуализации позволяют не испытывать ощутимых ограничений в функциональности виртуальных хостов и могут предложить высокий уровень производительности и стабильности. Грамотно сконфигурированная виртуальная инфраструктура вполне может являться полноценной альтернативой дорогостоящей «железной» для желающих диверсифицировать риски серьезных поражений.

Мы, команда облачного сервиса 1cloud.ru. со своей стороны не ограничиваем самостоятельное создание клиентом виртуальных машин на арендуемых у нас виртуальных серверах. Если вы желаете установить виртуальную машину Windows на своем сервере, просто обратитесь в нашу техническую поддержку с запросом соответствующей опции.

Windows Server Core представляет собой дистрибутив Windows Server 2008/2012 без предустановленного графического окружения (UI). Этот дистрибутив не использует многие системные сервисы, необходимые для функционирования графического интерфейса и, соответственно, лишен ряда уязвимостей, связанных с работой этих сервисов. Еще одно преимущество Windows Server Core – минимальная нагрузка на аппаратные ресурсы сервера. Это делает ее отличным выбором для установки на виртуальные машины.

К сожалению, на сегодняшний день для Server Core поддерживаются только некоторые функции Windows Server, ввиду чего эту систему еще нельзя назвать полноценной. Возможно, в скором будущем ситуация изменится.

Средняя оценка: 5.0. всего оценок: 4 Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

191014 Санкт-Петербург ул. Кирочная, 9