Перейти к основному содержимому
Версия: Privileged Access Manager 2.9

Настройки безопасности сервера доступа

предупреждение

На сервере RDS Gateway должны быть применены настройки безопасности, требуемые для работы PAM.

примечание

Настройки можно применить через утилиту Pam.Tools.Configuration.Protector. Необходимо запустить утилиту с соответствующим параметром от имени администратора: 
Pam.Tools.Configuration.Protector.exe apply-gateway-security

Применение настроек безопасности сервера доступа

Для этого необходимо:

  1. Перейдите в папку с дистрибутивом ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\
  2. Запустите командную строку от имени администратора.
  3. Выполните команду: .\Pam.Tools.Configuration.Protector.exe apply-gateway-security

примечание

Отключение Панели Управления для пользователей не применяется автоматически через утилиту Pam.Tools.Configuration.Protector

Проверка успешного применения настроек безопасности сервера доступа

Для этого необходимо:

  1. Перейдите в папку с дистрибутивом ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
  2. Запустите командную строку от имени администратора.
  3. Выполните команду: .\Pam.Tools.Configuration.Protector.exe validate-gateway-security.
предупреждение

После настройки безопасности сервера доступа необходимо перезагрузить машину с сервером доступа.

Список настроек

  1. Файл Microsoft.DiaSymReader.Native.amd64.dll.

    Необходимо скопировать файл Microsoft.DiaSymReader.Native.amd64.dll из директории 
    C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.24 в директорию 
    C:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp.

    Версия в исходном пути может отличаться в зависимости от версии Dotnet Runtime установленного на сервере. Необходимо взять наибольшую версию, начинающуюся с 3.1.

  2. Отключение пользовательского хранилища доверенных корневых сертификатов СА

    Возможны два варианта:

    1. Через групповую политику
    2. Через настройку в реестре на RDS Gateway сервере, если не применена групповая политика (п.1)

    Групповая политика

    Необходимо изменить настройку в групповой политике, действующей на RDS Gateway сервер: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политика открытого ключа → Параметры подтверждения пути сертификата (Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Certificate Path Validation Settings) Во вкладке Хранилище (Stores):

  • Отметить флажок "Определить параметры политики" (Define these policy settings)

  • Снять флажок "Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов" (Allow user trusted root CAs to be used to validate certificates)

    Настройка в реестре

    Необходимо по пути HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots создать ключ Flags (тип DWORD) и установить значение в 1. Пользовательские хранилище доверенных корневых сертификатов CA пользователя отключено, если первый бит значения в Flags равен 1.

  1. Служба Windows Push Notifications

    Служба WpnService должна быть отключена.

    В русской версии Windows служба называется "Служба системы push-уведомлений Windows".

    Также должна быть отключена пользовательская служба Windows Push Notifications (WpnUserService).

  2. Отключение Панели Управления для пользователей

    Необходимо через групповую политику отключить Панель Управления для пользователей:

    Конфигурация пользователя  → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.

    (User configuration → Administrative Templates → Control Panel → Prohibit access to Control Panel and PC settings)