Настройки безопасности сервера доступа
Обязательно выполните действия, которые перечислены на этой странице. Это требуется для корректной работы Indeed PAM.
Применение настроек с помощью утилиты
Чтобы применить необходимые настройки безопасности сервера доступа выполните следующие действия:
Перейдите в папку с дистрибутивом ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
Запустите командную строку от имени администратора.
Выполните команду:
.\Pam.Tools.Configuration.Protector.exe apply-gateway-security
Установите параметр Запретить доступ к панели управления и параметрам компьютера групповой политики в значение Включено.
Путь: Конфигурация пользователя → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.
(англ. — User configuration → Administrative Templates → Control Panel → Prohibit access to Control Panel and PC settings)
Перезагрузите машину с сервером доступа.
Убедитесь, что необходимые настройки безопасности сервера доступа применились.
Проверьте ваши целевые ресурсы — убедитесь, что параметр Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP групповой политики установлен в одно из значений:
- Не задано
- Включено: Negotiate
- Включено: SSL
Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность → Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP
(англ. — Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Hosts → Security → Require Use of Specific Security Layer for Remote (RDP) Connections)
предупреждениеЗначение Включено: RDP не поддерживается системой Indeed PAM.
Проверка успешного применения настроек безопасности сервера доступа
Чтобы убедиться, что необходимые настройки безопасности сервера доступа применились, выполните следующие действия:
- Перейдите в папку с дистрибутивом ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
- Запустите командную строку от имени администратора.
- Выполните команду:
.\Pam.Tools.Configuration.Protector.exe validate-gateway-security
Применение настроек вручную
Если использование утилиты Pam.Tools.Configuration.Protector по каким-либо причинам невозможно, то примените необходимые настройки безопасности вручную, как описано ниже.
Копирование файла библиотеки в директорию ProxyApp.
Перейдите в директорию
C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.24
, скопируйте файлMicrosoft.DiaSymReader.Native.amd64.dll
в директориюC:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp
. Версия в исходном пути может отличаться, в зависимости от версии Dotnet Runtime, установленного на сервере. Используйте наибольшую версию, которая начинается с 3.1.Отключение пользовательского хранилища доверенных корневых сертификатов ЦС
Есть два способа:
- Через групповую политику
- Через настройку в реестре на RDS Gateway сервере, если не применена групповая политика
Способ 1 — через групповую политику
Измените настройку в групповой политике, действующей на RDS Gateway сервер:
Путь: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политика открытого ключа → Параметры подтверждения пути сертификата
(англ. — Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Certificate Path Validation Settings)
Во вкладке Хранилища (англ. — Stores):
- Включите опцию Определить параметры политики (англ. — Define these policy settings)
- Отключите опцию Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов (англ. — Allow user trusted root CAs to be used to validate certificates)
Способ 2 — через настройку в реестре
В
HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots
создайте ключFlags
с типомDWORD
и установите значение1
. Пользовательское хранилище доверенных корневых сертификатов ЦС отключено, если первый бит значения вFlags
равен1
.Отключение служб системы push-уведомлений Windows.
Отключите следующие службы:
- Служба системы push-уведомлений Windows (англ. — Windows Push Notifications, WpnService)
- Пользовательская служба push-уведомлений Windows (англ. — Windows Push Notifications User, WpnUserService)
Отключение Панели Управления для пользователей в групповой политике.
Установите параметр Запретить доступ к панели управления и параметрам компьютера групповой политики в значение Включено.
Путь: Конфигурация пользователя → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.
(англ. — User configuration → Administrative Templates → Control Panel → Prohibit access to Control Panel and PC settings)
Проверка выбранного уровня безопасности для удаленных подключений по протоколу RDP в групповой политике целевых ресурсов.
Проверьте ваши целевые ресурсы — убедитесь, что параметр Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP групповой политики установлен в одно из значений:
- Не задано
- Включено: Negotiate
- Включено: SSL
Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность → Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP
(англ. — Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Hosts → Security → Require Use of Specific Security Layer for Remote (RDP) Connections)
предупреждениеЗначение Включено: RDP не поддерживается системой Indeed PAM.