Schränken Sie den RDC auf isolierte, maschinenaktivierte Konten in Abhängigkeit von der eingehenden IP-Adresse ein, und erhalten Sie schreibgeschützten oder Lese- / Schreibzugriff in Abhängigkeit von der eingehenden Route

436
Stefan

Die Beiträge

  1. Beschränken des Remotedesktop-Zugriffs auf bestimmte Benutzer auf bestimmte Server in einer Domänenumgebung?
  2. Beschränken Sie den RDP-Zugriff nach IP-Adresse

Erklären Sie gut, wie Sie den Zugriff auf einen Computer beschränken, je nachdem, wer versucht, sich anzumelden. Auf diese Weise kann nicht gesteuert werden, über welches Konto auf dem lokalen Computer angemeldet wird. Auf dieser Maschine ist ein schreibgeschütztes Konto (für das Subsystem) und ein Konto (für Subsysteme) vorhanden.

Wie kann ich steuern, welche Konten verwendet werden können, abhängig davon, woher die RDC-Anforderung stammt?
Es gibt keinen zentralen AD-Controller usw., da das System von verschiedenen Eigentümern verwaltet wird.

Darüber hinaus finde ich im Internet unendlich viele Ressourcen, die gut erklären, wie der Zugriff auf einen Computer eingeschränkt werden kann, abhängig davon, wer versucht, sich einzuloggen, welche alternative Lösung möglich ist. Leider lässt sich damit nicht steuern, über welches Konto auf dem lokalen Computer angemeldet wird und was auf diesem Computer ausgeführt wird. Diese Tatsache wirft einige Sicherheitsbedenken auf.
Die Situation ist, dass wir Software auf IPCs (Industrie-PC) haben, die nur eine Überwachung ermöglicht, aber auch eine Service-Software, mit der die Verfügbarkeit der gelieferten Maschinen verändert werden kann. Da wir derzeit nicht sicherstellen können, dass nur ein bestimmtes Konto oder eine bestimmte Anwendung verwendet wird, da wir uns über das vom Remote-Portal / Terminalserver bereitgestellte Client anmelden müssen, müssen wir jedes Mal eine Arbeitserlaubnis beantragen, wenn wir das System überwachen möchten. auch nur für die Übertragung von Loggerdaten. Die Installation eines anderen IPCs ist nicht möglich, da diese bestimmte Maschine im Offshore-Bereich ist. Daher möchten wir, dass die Software in Bezug auf Software gelöst wird.

Das ist es, was wir gerne realisieren:

  1. Lokales Lese- und Schreibbenutzerkonto pro IPC
    Einige Konten erlauben nur die Verwendung von Nur-Lese- Software, z. B. Überwachungssoftware. Andere Konten ermöglichen die Verwendung von mehr Funktionssoftware bis hin zu Paketen, die die Maschinerie ausschalten könnten.
    Unserer Meinung nach ist die Verwendung verschiedener Konten die praktikabelste Methode, ansonsten muss eine lokale Software von Drittanbietern die Erlaubnis nach Windows-Richtlinien festlegen.

  2. Steuern, welche Konten verwendet werden können
    Welches lokale Benutzerkonto (oder die Richtlinieneinstellung ist aktiv) hängt davon ab, woher die RAS-Anforderung nur kommt

  3. Lokaler Zugriffsverwaltungsserver
    Derzeit gibt es keinen zentralen AD-Controller usw., bei Bedarf könnte jedoch ein Zugriffs-Masterserver vorhanden sein, z. B. RD-Gatewayserver oder BOMGAR Privileged Access, um die Zugriffsberechtigung zu verwalten
  4. Inselbetrieb
    Unsere Geräte befinden sich in einem Inselnetzwerk, das sich hinter dem Netz der Kunden befindet. Der schwierigste Punkt ist eigentlich zu erkennen, wer den Zugang zu unserem isolierten Netzwerk anfordert. Bisher haben wir uns diese Ideen ausgedacht:

    1. Das Client-Netzwerk teilt unserem Netzwerk mit, welches Konto verwendet wird, dies erfordert jedoch eine individuelle Klärung der Kommunikation.
    2. Unser Netzwerk liest die Client-IP und entscheidet, ob es Lese- oder Schreibzugriff gibt. Der Kunde muss sicherstellen, dass mindestens zwei verschiedene Computer auf unser Netzwerk zugreifen. Einer ist für Lese- / Dauerzugriffskonten und andere für erhöhte Konten, für die möglicherweise eine zusätzliche Zugriffsgenehmigung durch den Kunden erforderlich ist
    3. Falls Sie sich nicht als Administrator an einem Masterserver anmelden können, muss das Administratorkonto vom Client verwaltet werden.

Die nächste Lösung, die ich bisher gefunden habe, ist die Frage nach dem Superuser: Mit TeamViewer können Sie sich nur in einem Benutzerkonto anmelden, sind aber noch weit von unseren Anforderungen entfernt.

Ich erstelle eine Zeichnung, die all dies zeigt. Ich hoffe, das hilft

advanced_remote_access_architecture.png

0

0 Antworten auf die Frage