Настройки безопасности сервера доступа

предупреждение

Обязательно выполните действия, которые перечислены на этой странице. Это требуется для корректной работы Indeed PAM.

Применение настроек с помощью утилиты

Чтобы применить необходимые настройки безопасности сервера доступа выполните следующие действия:

1. Перейдите в папку с дистрибутивом ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.

2. Запустите командную строку от имени администратора.

3. Выполните команду:

   .\Pam.Tools.Configuration.Protector.exe apply-gateway-security

4. Установите параметр Запретить доступ к панели управления и параметрам компьютера групповой политики в значение Включено.

   Путь: Конфигурация пользователя → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.

   (англ. — User configuration → Administrative Templates → Control Panel → Prohibit access to Control Panel and PC settings)

5. Перезагрузите машину с сервером доступа.

6. Убедитесь, что необходимые настройки безопасности сервера доступа применились.

7. Проверьте ваши целевые ресурсы — убедитесь, что параметр Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP групповой политики установлен в одно из значений:

   • Не задано
   • Включено: Negotiate
   • Включено: SSL

   Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность → Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP

   (англ. — Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Hosts → Security → Require Use of Specific Security Layer for Remote (RDP) Connections)

   предупреждение

   Значение Включено: RDP не поддерживается системой Indeed PAM.

Проверка успешного применения настроек безопасности сервера доступа

Чтобы убедиться, что необходимые настройки безопасности сервера доступа применились, выполните следующие действия:

1. Перейдите в папку с дистрибутивом ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
2. Запустите командную строку от имени администратора.
3. Выполните команду:

   .\Pam.Tools.Configuration.Protector.exe validate-gateway-security

Применение настроек вручную

Если использование утилиты Pam.Tools.Configuration.Protector по каким-либо причинам невозможно, то примените необходимые настройки безопасности вручную, как описано ниже.

1. Копирование файла библиотеки в директорию ProxyApp.

   Перейдите в директорию C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.24, скопируйте файл Microsoft.DiaSymReader.Native.amd64.dll в директорию C:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp. Версия в исходном пути может отличаться, в зависимости от версии Dotnet Runtime, установленного на сервере. Используйте наибольшую версию, которая начинается с 3.1.

2. Отключение пользовательского хранилища доверенных корневых сертификатов ЦС

   Есть два способа:

   • Через групповую политику
   • Через настройку в реестре на RDS Gateway сервере, если не применена групповая политика

   Способ 1 — через групповую политику

   Измените настройку в групповой политике, действующей на RDS Gateway сервер:

   Путь: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политика открытого ключа → Параметры подтверждения пути сертификата

   (англ. — Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Certificate Path Validation Settings)

   Во вкладке Хранилища (англ. — Stores):

   1. Включите опцию Определить параметры политики (англ. — Define these policy settings)
   2. Отключите опцию Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов (англ. — Allow user trusted root CAs to be used to validate certificates)

   Способ 2 — через настройку в реестре

   В HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots создайте ключ Flags с типом DWORD и установите значение 1. Пользовательское хранилище доверенных корневых сертификатов ЦС отключено, если первый бит значения в Flags равен 1.

3. Отключение служб системы push-уведомлений Windows.

   Отключите следующие службы:

   • Служба системы push-уведомлений Windows (англ. — Windows Push Notifications, WpnService)
   • Пользовательская служба push-уведомлений Windows (англ. — Windows Push Notifications User, WpnUserService)

4. Отключение Панели Управления для пользователей в групповой политике.

   Установите параметр Запретить доступ к панели управления и параметрам компьютера групповой политики в значение Включено.

   Путь: Конфигурация пользователя → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.

   (англ. — User configuration → Administrative Templates → Control Panel → Prohibit access to Control Panel and PC settings)

5. Проверка выбранного уровня безопасности для удаленных подключений по протоколу RDP в групповой политике целевых ресурсов.

   Проверьте ваши целевые ресурсы — убедитесь, что параметр Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP групповой политики установлен в одно из значений:

   • Не задано
   • Включено: Negotiate
   • Включено: SSL

   Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность → Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP

   (англ. — Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Hosts → Security → Require Use of Specific Security Layer for Remote (RDP) Connections)

   предупреждение

   Значение Включено: RDP не поддерживается системой Indeed PAM.