Перейти к основному содержимому
Версия: Privileged Access Manager 2.10

Настройки безопасности сервера доступа

предупреждение

Обязательно выполните действия, которые перечислены на этой странице. Это требуется для корректной работы Indeed PAM.

Применение настроек с помощью утилиты

Чтобы применить необходимые настройки безопасности сервера доступа выполните следующие действия:

  1. Перейдите в папку с дистрибутивом ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.

  2. Запустите командную строку от имени администратора.

  3. Выполните команду:

    .\Pam.Tools.Configuration.Protector.exe apply-gateway-security
  4. Установите параметр Запретить доступ к панели управления и параметрам компьютера групповой политики в значение Включено.

    Путь: Конфигурация пользователя → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.

    (англ. — User configurationAdministrative TemplatesControl PanelProhibit access to Control Panel and PC settings)

  5. Перезагрузите машину с сервером доступа.

  6. Убедитесь, что необходимые настройки безопасности сервера доступа применились.

  7. Проверьте ваши целевые ресурсы — убедитесь, что параметр Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP групповой политики установлен в одно из значений:

    • Не задано
    • Включено: Negotiate
    • Включено: SSL

    Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность → Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP

    (англ. — Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostsSecurityRequire Use of Specific Security Layer for Remote (RDP) Connections)

    предупреждение

    Значение Включено: RDP не поддерживается системой Indeed PAM.

Проверка успешного применения настроек безопасности сервера доступа

Чтобы убедиться, что необходимые настройки безопасности сервера доступа применились, выполните следующие действия:

  1. Перейдите в папку с дистрибутивом ..PAM_2.10.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
  2. Запустите командную строку от имени администратора.
  3. Выполните команду:
    .\Pam.Tools.Configuration.Protector.exe validate-gateway-security

Применение настроек вручную

Если использование утилиты Pam.Tools.Configuration.Protector по каким-либо причинам невозможно, то примените необходимые настройки безопасности вручную, как описано ниже.

  1. Копирование файла библиотеки в директорию ProxyApp.

    Перейдите в директорию C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.24, скопируйте файл Microsoft.DiaSymReader.Native.amd64.dll в директорию C:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp. Версия в исходном пути может отличаться, в зависимости от версии Dotnet Runtime, установленного на сервере. Используйте наибольшую версию, которая начинается с 3.1.

  2. Отключение пользовательского хранилища доверенных корневых сертификатов ЦС

    Есть два способа:

    • Через групповую политику
    • Через настройку в реестре на RDS Gateway сервере, если не применена групповая политика

    Способ 1 — через групповую политику

    Измените настройку в групповой политике, действующей на RDS Gateway сервер:

    Путь: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политика открытого ключа → Параметры подтверждения пути сертификата

    (англ. — Computer ConfigurationWindows SettingsSecurity SettingsPublic Key PoliciesCertificate Path Validation Settings)

    Во вкладке Хранилища (англ. — Stores):

    1. Включите опцию Определить параметры политики (англ. — Define these policy settings)
    2. Отключите опцию Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов (англ. — Allow user trusted root CAs to be used to validate certificates)

    Способ 2 — через настройку в реестре

    В HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots создайте ключ Flags с типом DWORD и установите значение 1. Пользовательское хранилище доверенных корневых сертификатов ЦС отключено, если первый бит значения в Flags равен 1.

  3. Отключение служб системы push-уведомлений Windows.

    Отключите следующие службы:

    • Служба системы push-уведомлений Windows (англ. — Windows Push Notifications, WpnService)
    • Пользовательская служба push-уведомлений Windows (англ. — Windows Push Notifications User, WpnUserService)
  4. Отключение Панели Управления для пользователей в групповой политике.

    Установите параметр Запретить доступ к панели управления и параметрам компьютера групповой политики в значение Включено.

    Путь: Конфигурация пользователя → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.

    (англ. — User configurationAdministrative TemplatesControl PanelProhibit access to Control Panel and PC settings)

  5. Проверка выбранного уровня безопасности для удаленных подключений по протоколу RDP в групповой политике целевых ресурсов.

    Проверьте ваши целевые ресурсы — убедитесь, что параметр Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP групповой политики установлен в одно из значений:

    • Не задано
    • Включено: Negotiate
    • Включено: SSL

    Путь: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Безопасность → Требовать использование специального уровня безопасности для удаленных подключений по протоколу RDP

    (англ. — Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostsSecurityRequire Use of Specific Security Layer for Remote (RDP) Connections)

    предупреждение

    Значение Включено: RDP не поддерживается системой Indeed PAM.