Atualmente, temos um servidor SBS e um Terminal Server (ambos 2008R2), onde os usuários fazem login local e remotamente no Terminal Server e trabalham.
Precisamos restringir a capacidade de fazer o login remotamente para apenas alguns usuários.
Existe uma maneira de restringir isso? vimos anteriormente (em outra organização) "o acesso da sessão solicitada é negado" quando um usuário tenta fazer logon remotamente quando agora tem acesso.
Alguém sabe como recriar isso? Um Gateway TS e a alteração das portas RDP infelizmente não são uma opção nesta instância.
Obrigado,
Feche as portas RDP no seu firewall e tenha os poucos usuários que precisam se conectar através de uma VPN.
Com o número de bots martelando nos servidores RDP atualmente, fico nervoso expondo-o à internet em primeiro lugar. Mesmo que todos os seus usuários tenham senhas excelentes, os invasores ainda podem inundar logs ou disparar políticas de bloqueio. Então, isso também remove preocupações de segurança ao mesmo tempo. Colocá-lo atrás de um gateway TS ou VPN ajuda.
Devido ao seu orçamento, crie uma regra de firewall em seu roteador para permitir apenas o tráfego 3389 proveniente do IP da WAN desses trabalhadores. SOHO não pode fazer isso, você precisa de um roteador de entrada de negócios, e isso significa IP estático para eles.
Tempo da solução criativa: faça com que os usuários efetuem login em uma página da web que adicione temporariamente o ip do dispositivo à lista de exceções do firewall antes de usar o RDP. Qualquer usuário que não fizer login pela primeira vez não poderá acessar o RDP de fora. Talvez inclua até mesmo uma opção de escolher sua própria TTL para usuários que sabem quanto tempo precisarão da conexão. Você pode incluir o registro para poder incluir um método para remover todas as exceções criadas pelo X, caso isso seja necessário.
Você pode até mesmo exigir certificados de cliente para autenticação no servidor e distribuir chaves para cada usuário para adicionar a seus dispositivos, para maior segurança.