Настройки безопасности сервера доступа

caution

На сервере RDS Gateway должны быть применены настройки безопасности, требуемые для работы PAM.

note

Настройки можно применить через утилиту Pam.Tools.Configuration.Protector. Необходимо запустить утилиту с соответствующим параметром от имени администратора: 
Pam.Tools.Configuration.Protector.exe apply-gateway-security

Применение настроек безопасности сервера доступа

Для этого необходимо:

1. Перейдите в папку с дистрибутивом ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\
2. Запустите командную строку от имени администратора.
3. Выполните команду: .\Pam.Tools.Configuration.Protector.exe apply-gateway-security

note

Отключение Панели Управления для пользователей не применяется автоматически через утилиту Pam.Tools.Configuration.Protector

Проверка успешного применения настроек безопасности сервера доступа

Для этого необходимо:

1. Перейдите в папку с дистрибутивом ..PAM_2.9.0\Indeed-pam-windows\MISC\ConfigurationProtector\.
2. Запустите командную строку от имени администратора.
3. Выполните команду: .\Pam.Tools.Configuration.Protector.exe validate-gateway-security.

caution

После настройки безопасности сервера доступа необходимо перезагрузить машину с сервером доступа.

Список настроек

1. Файл Microsoft.DiaSymReader.Native.amd64.dll.

   Необходимо скопировать файл Microsoft.DiaSymReader.Native.amd64.dll из директории 
   C:\Program Files\dotnet\shared\Microsoft.NETCore.App\3.1.24 в директорию 
   C:\Program Files\Indeed\Indeed PAM\Gateway\ProxyApp.

   Версия в исходном пути может отличаться в зависимости от версии Dotnet Runtime установленного на сервере. Необходимо взять наибольшую версию, начинающуюся с 3.1.

2. Отключение пользовательского хранилища доверенных корневых сертификатов СА

   Возможны два варианта:

   1. Через групповую политику
   2. Через настройку в реестре на RDS Gateway сервере, если не применена групповая политика (п.1)

   Групповая политика

   Необходимо изменить настройку в групповой политике, действующей на RDS Gateway сервер: Конфигурация компьютера → Конфигурация Windows → Параметры безопасности → Политика открытого ключа → Параметры подтверждения пути сертификата (Computer Configuration → Windows Settings → Security Settings → Public Key Policies → Certificate Path Validation Settings) Во вкладке Хранилище (Stores):

• Отметить флажок "Определить параметры политики" (Define these policy settings)

• Снять флажок "Разрешить использование корневых ЦС, которым доверяет пользователь, для проверки сертификатов" (Allow user trusted root CAs to be used to validate certificates)

  Настройка в реестре

  Необходимо по пути HKLM\SOFTWARE\Policies\Microsoft\SystemCertificates\Root\ProtectedRoots создать ключ Flags (тип DWORD) и установить значение в 1. Пользовательские хранилище доверенных корневых сертификатов CA пользователя отключено, если первый бит значения в Flags равен 1.

3. Служба Windows Push Notifications

   Служба WpnService должна быть отключена.

   В русской версии Windows служба называется "Служба системы push-уведомлений Windows".

   Также должна быть отключена пользовательская служба Windows Push Notifications (WpnUserService).

4. Отключение Панели Управления для пользователей

   Необходимо через групповую политику отключить Панель Управления для пользователей:

   Конфигурация пользователя  → Административные шаблоны → Панель управления → Запретить доступ к панели управления и параметрам компьютера.

   (User configuration → Administrative Templates → Control Panel → Prohibit access to Control Panel and PC settings)