3. Настройка сертификата для сервера шлюза служб терминалов
Процесс настройки сертификата для сервера шлюза служб терминалов состоит из двух этапов:
установка сертификата на сервере шлюза служб терминалов;
сопоставление сертификата сервера шлюза служб терминалов.
Установка сертификата на сервере шлюза служб терминалов
Следующая процедура позволяет корректно установить полученный сертификат на сервере шлюза служб терминалов в случае, если он не был установлен ранее. После завершения данной процедуры необходимо выполнить сопоставление сертификата.
 Примечание
Выполнение настоящей процедуры не требуется, если сертификат был создан с помощью мастера Add/Remove Roles Wizard (добавления и удаления ролей) во время установки службы роли «шлюз служб терминалов» или посредством диспетчера шлюза служб терминалов после завершения ее установки (так, как описано в процедуре «Создание самозаверяющего сертификата для шлюза служб терминалов»). В таком случае сертификат автоматически создается, устанавливается в нужном каталоге на сервере шлюза служб терминалов и сопоставляется с этим сервером.
 Установка сертификата на сервере шлюза служб терминалов
-
|
1. Откройте консоль оснастки Certificates. Установить эту консоль, если она не была установлена ранее, можно следующим образом:
a) нажмите кнопку Start, выберите вариант Run, введите команду mmc и нажмите кнопку OK;
b. в меню File (файл) выберите команду Add/Remove Snap-in (добавить или удалить оснастку);
в) при появлении диалогового окна Add or Remove Snap-ins (добавление и удаление оснастки) выберите пункт Certificates (сертификаты) в списке Available snap-ins (доступные оснастки) и нажмите кнопку Add (добавить);
г) в диалоговом окне Certificates snap-in (оснастка диспетчера сертификатов) выберите пункт Computer account (учетная запись компьютера) и нажмите кнопку Next;
д) в диалоговом окне Select Computer (выбор компьютера) выберите пункт Local computer: (the computer this console is running on) (локальный компьютер (на котором запущена эта консоль)) и нажмите кнопку Finish;
f. нажмите кнопку OK в диалоговом окне Add or Remove snap-ins.
2. Раскрыв узел Certificates (Local Computer) (сертификаты (локальный компьютер)) в дереве консоли оснастки Certificates, нажмите кнопку Personal (личные).
3. Щелкнув папку Personal (личные) правой кнопкой мыши, откройте контекстное меню All Tasks (все задачи) и выберите команду Import (импорт).
4. На открывшейся странице Welcome to the Certificate Import Wizard (мастер импорта сертификатов) нажмите кнопку Next.
5. В поле File name (имя файла) на странице File to Import (импортируемый файл) укажите имя сертификата, который предполагается импортировать, и нажмите кнопку Next.
6. После открытия страницы Password (пароль) выполните следующие действия:
a) если пароль для закрытого ключа, связанного с сертификатом, был установлен ранее, введите его;
б) чтобы предусмотреть возможность экспорта закрытого ключа сертификата, установите параметр Mark this key as exportable (пометить этот ключ как экспортируемый);
в) чтобы включить все расширенные свойства сертификата, установите параметр Include all extended properties (включить все расширенные свойства);
г) нажмите кнопку Next.
7. После открытия страницы Certificate Store (хранилище сертификатов), подтвердив выбор параметра по умолчанию, нажмите кнопку Next.
8. На странице Completing the Certificate Import Wizard (завершение работы мастера импорта сертификатов) подтвердите правильность выбора сертификата.
9. Нажмите кнопку Finish.
10. После импорта сертификата на экране появится сообщение, подтверждающее успешное завершение этой операции. Нажмите кнопку OK.
11. Выбрав узел Certificates в дереве консоли, удостоверьтесь в наличии нужного сертификата в списке сертификатов, установленных на сервере шлюза служб терминалов (этот список выводится в области сведений). Сертификат должен быть размещен на локальном компьютере в хранилище Personal.
|
Сопоставление сертификата сервера шлюза служб терминалов
Сопоставление сертификата шлюза служб терминалов производится в диспетчере шлюза служб терминалов. Попытка выполнить операцию сопоставления любым другим методом приведет к неверному функционированию шлюза служб терминалов.
Примечание
Выполнение настоящей процедуры не требуется, если сертификат был создан с помощью мастера Add/Remove Roles Wizard (добавления и удаления ролей) во время установки службы роли «шлюз служб терминалов» или посредством диспетчера шлюза служб терминалов после завершения ее установки (так, как описано в процедуре «Создание самозаверяющего сертификата для шлюза служб терминалов»).
Сопоставление сертификата с локальным сервером шлюза служб терминалов
-
|
1. Откройте диспетчер шлюза служб терминалов. Для этого нажмите кнопку Start, выберите вариант Administrative Tools, далее Terminal Services, а затем – TS Gateway Manager.
2. Щелкните правой кнопкой мыши узел локального сервера шлюза служб терминалов в дереве консоли диспетчера шлюза служб терминалов и в контекстном меню выберите пункт Properties (свойства).
3. На вкладке SSL Certificate (SSL-сертификат) последовательно нажмите кнопки Select an existing certificate for SSL encryption (выбрать существующий сертификат для SSL-шифрования) и Browse Certificates (обзор сертификатов).
4. Выбрав нужный сертификат в диалоговом окне Install Certificate (установить сертификат), нажмите кнопку Install.
5. Закройте диалоговое окно Properties сервера шлюза служб терминалов нажатием кнопки OK.
6. Если сопоставление сертификата шлюза служб терминалов выполняется впервые, то после завершения этой операции проверить ее результат можно в области TS Gateway Server Status (состояние сервера шлюза служб терминалов) диспетчера шлюза служб терминалов. После успешного сопоставления сертификата должны исчезнуть, во-первых, предупреждение о том, что сертификат сервера не установлен или не выбран, которое выводится в секции Configuration Status and Configuration Tasks (состояние и задачи настройки), а, во-вторых, гиперссылка View or modify certificate properties (просмотреть или изменить свойства сертификата).
|
Обзор политик авторизации шлюза служб терминалов
После установки службы роли «шлюз служб терминалов» и настройки сертификата сервера шлюза служб терминалов необходимо создать политики авторизации подключений служб терминалов (TS CAP), группы компьютеров и политики авторизации ресурсов служб терминалов (TS RAP).
Политики авторизации подключений служб терминалов (TS CAP)
Политики TS CAP устанавливают круг пользователей, которым разрешено подключаться к серверу шлюза служб терминалов. В такую политику можно включать группы пользователей, настроенные на локальном сервере шлюза служб терминалов или в доменных службах Active Directory. Можно также указать ряд условий, при соблюдении которых пользователям предоставляется доступ к серверу шлюза служб терминалов. К примеру, можно настроить политику таким образом, чтобы все пользователи, подключающиеся к определенному серверу терминалов, на котором размещена база данных сотрудников (HR), через сервер шлюза служб терминалов были обязаны входить в группу безопасности "HR Users" (сотрудники отдела кадров). Кроме того, можно обязать все клиентские компьютеры, устанавливающие соединения через сервер шлюза служб терминалов, входить в группы безопасности Active Directory внутренней сети. Требование участия компьютеров в определенной группе безопасности Active Directory внутренней сети позволяет запретить доступ к ее ресурсам с компьютеров-киосков, компьютеров, находящихся в аэропортах, и домашних компьютеров.
В целях обеспечения дополнительной безопасности при подключении клиентов к ресурсам внутренней сети через шлюз служб терминалов можно определенным образом настроить перенаправление устройств – запретить перенаправление всех устройств, поддерживаемых клиентом служб терминалов, или только устройств определенного типа (например, дисковых накопителей или поддерживаемых устройств Plug and Play). Запрет на перенаправление всех устройств, поддерживаемых клиентом, не распространяется только на перенаправление звука и смарт-карт.
При настройке запрета на перенаправление устройств отдельных типов или всех устройств, за исключением смарт-карт, сервер шлюза служб терминалов возвращает клиенту запрос со списком типов устройств, перенаправление которых предполагается запретить. Этот список носит характер предложения – с его помощью клиент может скорректировать настройки перенаправления устройств.
 Внимание!
Так как предложенные сервером шлюза служб терминалов настройки перенаправления устройств утверждаются клиентом, данную возможность не следует рассматривать как полноценное средство обеспечения безопасности. Предложенные настройки перенаправления устройств вводятся в действие только на клиентах подключения к удаленному рабочему столу (RDC); если протокол RDC на клиентском компьютере не применяется, они не действует. Кроме того, пользователь-злоумышленник может внести в клиент RDC такие изменения, которые позволят ему игнорировать предложенные настройки. В таких случаях рассматриваемая функция не обеспечивает гарантированную безопасность даже при работе с клиентами RDC.
Дополнительно можно выбрать способ проверки подлинности пользователей при доступе к ресурсам внутренней сети через сервер шлюза служб терминалов – с помощью смарт-карты или пароля. Если разрешены оба способа проверки подлинности, клиент может применять любой из них по своему усмотрению.
Наконец, если в организации применяется технология защиты доступа к сети (NAP), можно настроить обязательную отправку клиентом отклика о состоянии работоспособности (statement of health, SoH). Инструкции о настройке технологии NAP в шлюзе служб терминалов см. в разделе «Настройка шлюза служб терминалов: сценарий с участием технологии защиты доступа к сети (NAP)».
 Внимание!
Доступ к серверу шлюза служб терминалов предоставляется пользователям, которые удовлетворяют изложенным в политике TS CAP условиям. Помимо нее необходимо создать политику TS RAP. Политика TS RAP позволяет ограничить круг ресурсов (компьютеров) внутренней сети, к которым пользователи могут обращаться через шлюз служб терминалов. Пользователи смогут получать доступ к ресурсам внутренней сети через сервер шлюза служб терминалов лишь после того, как обе указанные политики будут созданы.
Политики авторизации ресурсов служб терминалов (TS RAP)
Политики TS RAP позволяют указать ресурсы (компьютеры) внутренней сети, к которым пользователи смогут обращаться через шлюз служб терминалов. Создание политики TS RAP сводится к созданию новой группы компьютеров (списка компьютеров внутренней сети, к которым удаленным пользователям предполагается предоставить доступа) и установлению связи между группой и политикой. К примеру, пользователем, входящим в группу пользователей “HR Users”, можно разрешить доступ только к компьютерам, входящим в группу компьютеров “HR Computers” (компьютеры отдела кадров); аналогичным образом, доступ к ресурсам внутренней сети для пользователей, входящих в группу “Finance Users” (финансисты), можно ограничить группой компьютеров "Finance Computers" (компьютеры финансового отдела).
При подключении через сервер шлюза служб терминалов удаленным пользователям предоставляется доступ к ресурсам внутренней сети в том случае, если они удовлетворяют требованиям, по меньшей мере, одной политики TS CAP и одной – TS RAP.
Примечание
Связывая группу компьютеров, находящуюся под управлением шлюза служб терминалов, с политикой TS RAP, можно предусмотреть применение двух видов имен – полных доменных имен (FQDN) и NetBIOS-имен. Для этого нужно отдельно настроить в группе компьютеров оба имени. Если с политикой TS RAP связана группа безопасности Active Directory, то при условии, что компьютер внутренней сети, к которому подключается клиент, принадлежит к тому же домену, что и сервер шлюза служб терминалов, поддержка полных доменных имен и NetBIOS-имен обеспечивается автоматически. Если компьютер внутренней сети не принадлежит к тому же домену, что и сервер шлюза служб терминалов, то при подключении клиент должен указать полное доменное имя этого компьютера.
Политики TS CAP и TS RAP создают двухуровневую проверку подлинности, которая позволяет с достаточной степенью точности настроить контроль доступа к компьютерам во внутренней сети.
Группы безопасности и группы компьютеров, находящиеся под управлением шлюза служб терминалов и связываемые с политиками TS RAP
Удаленные пользователи могут подключаться через шлюз служб терминалов к тем ресурсам внутренней сети, которые состоят в группе компьютеров. Допустимые варианты статуса этих ресурсов перечислены ниже.
Участники существующей группы безопасности. Такая группа безопасности может быть определена для локальных пользователей и групп на сервере шлюза служб терминалов или в доменных службах Active Directory.
Участники существующей или новой группы компьютеров, находящейся под управлением шлюза служб терминалов. После установки новую группу компьютеров под управлением шлюза служб терминалов можно настроить при помощи диспетчера шлюза служб терминалов.
Такую группу нельзя настроить в числе локальных пользователей и групп; кроме того, она не фигурирует в списке локальных пользователей и групп на сервере шлюза служб терминалов.
Любой сетевой ресурс. В таком случае пользователи могут подключаться к любым компьютерам внутренней сети, которые доступны для клиента подключения к удаленному рабочему столу.
4. Создание политики TS CAP сервера шлюза служб терминалов
В настоящем разделе изложена процедура создания специализированной политики TS CAP при помощи диспетчера шлюза служб терминалов. В качестве альтернативы для создания политик TS CAP и TS RAP шлюза служб терминалов можно обратиться к средствам мастера Authorization Policies Wizard (политик авторизации).
Внимание!
При настройке нескольких политик TS CAP следует учитывать механизм поиска политик, реализованный в шлюзе служб терминалов. Политики вводятся по очереди в соответствии с их представлением в области результатов диспетчера шлюза служб терминалов, а доступ к серверу шлюза служб терминалов предоставляется по первой политике, требованиям которой клиент удовлетворяет. Таким образом, если клиент не удовлетворяет требованиям первой политики TS CAP в списке, шлюз служб терминалов переходит ко второй политике, и так далее, пока не будет найдена политика, требованиям которой клиентом соблюдены. В том случае, если клиент не соответствует требованиям всех политик TS CAP в списке, шлюз служб терминалов отказывает ему в доступе.
Создание политики TS CAP сервера шлюза служб терминалов
-
|
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Policies (политики) в дереве консоли и выберите папку Connection Authorization Policies (политики авторизации подключений).
4. Щелкнув папку Connection Authorization Policies правой кнопкой мыши, раскройте контекстное меню Create New Policy (создать новую политику) и выберите вариант Custom (особая).
5. На вкладке General (общие) укажите имя политики и проверьте, установлен ли флажок Enable this policy (включить эту политику) – если нет, установите его.
6. В секции Supported Windows authentication methods (поддерживаемые методы проверки подлинности ОС Windows) вкладки Requirements (требования) установите оба указанных ниже флажка или один из них:
Password (пароль);
Smart card (смарт-карта).
Если разрешены оба способа проверки подлинности, клиент может применять любой из них по своему усмотрению.
7. Нажмите кнопку Add Group (добавить группу) в секции User group membership (required) (членство в группе пользователей (обязательное)), а затем укажите группу пользователей, участники которой могут подключаться к серверу шлюза служб терминалов. Необходимо указать, по меньшей мере, одну такую группу.
8. При появлении диалогового окна Select Groups (выбор групп) укажите местоположение и имя группы пользователей, после чего, чтобы проверить введенное имя и закрыть диалоговое окно Select Groups, нажмите кнопку OK. Настроить дополнительные группы можно одним из двух следующих способов:
ввести имена всех групп пользователей, разделив их точками с запятой;
добавить группы из других доменов, повторив предыдущее действие в отношении каждой из них.
9. Чтобы в качестве дополнительной меры определить критерии членства в доменах, которым должны удовлетворять клиентские компьютеры, нажмите кнопку Add Group в секции Client computer group membership (optional) (членство клиентов в группах компьютеров (дополнительно)) вкладки Requirements и укажите нужные группы. В приведенных образцах конфигураций группы компьютеров не указаны.
Группы компьютеров определяются тем же способом, что и группы пользователей.
10. Чтобы разрешить или запретить перенаправление устройств удаленных клиентов, установите один из перечисленных ниже параметров на вкладке Device Redirection (перенаправление устройств):
чтобы разрешить перенаправление всех клиентских устройств при подключении через сервер шлюза служб терминалов, установите параметр Enable device redirection for all client devices (разрешить перенаправление всех клиентских устройств) – он установлен по умолчанию;
чтобы запретить при подключении через сервер шлюза служб терминалов перенаправление всех клиентских устройств, кроме смарт-карт, установите параметр Disable device redirection for all client devices except for smart card (отключить перенаправление всех клиентских устройств, кроме смарт-карт);
чтобы запретить при подключении через сервер шлюза служб терминалов перенаправление отдельных типов устройств, установите параметр Disable device redirection for the following client device types (отключить перенаправление клиентских устройств следующих типов), а затем установите флажки, соответствующие тем типам устройств, перенаправление которых предполагается запретить.
Внимание!
Настройки перенаправления устройств вводятся в действие только в клиентах подключения к удаленному рабочему столу (RDC).
11. Нажмите кнопку OK.
12. Созданная политика TS CAP появится в области результатов диспетчера шлюза служб терминалов. Выбрав имя политики, можно ознакомиться с ее параметрами в нижней части области.
|
5. Создание политики TS RAP и выбор компьютеров, к которым пользователи смогут подключаться через сервер шлюза служб терминалов
В настоящем разделе описывается процедура создания специализированной политики TS RAP средствами диспетчера шлюза служб терминалов и выбора компьютеров, к которым пользователи вправе подключаться через сервер шлюза служб терминалов. Эти задачи также можно выполнить при помощи мастера Authorization Policies Wizard (политик авторизации).
Внимание!
Для подключения пользователей к участникам фермы серверов терминалов необходимо явно указать в политике TS RAP имя этой фермы. Для этого во время создания политики TS RAP установите параметр Select existing TS Gateway-managed computer group or create a new one (выбрать существующую или создать новую группу компьютеров под управлением шлюза служб терминалов) на вкладке Computer Group (группа компьютеров), а затем явно укажите имя фермы серверов терминалов. Если имя фермы серверов терминалов не указано явно, пользователи не смогут подключаться к ее участникам. Для обеспечения должного уровня безопасности и упрощения административных задач серверы терминалов, входящие в состав фермы, следует указать во второй политике TS RAP. Установите параметр Select an Active Directory security group (выбрать группу безопасности Active Directory) на вкладке Computer Group, после чего укажите группу безопасности, в которой числятся входящие в состав фермы серверы терминалов. Эта операция повышает уровень защиты, поскольку участники фермы одновременно являются доверенными участниками группы безопасности Active Directory.
Создание политики TS RAP и выбор компьютеров, к которым пользователи смогут подключаться через сервер шлюза служб терминалов
-
|
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Policies в дереве консоли и выберите папку Resource Authorization Policies (политики авторизации ресурсов).
4. Щелкнув папку Resource Authorization Policies правой кнопкой мыши, раскройте контекстное меню Create New Policy и выберите вариант Custom.
5. В поле Policy name (имя политики) вкладки General введите имя длиной не более 64 символов.
6. Введите описание новой политики TS RAP в поле Description (описание).
7. Нажав кнопку Add на вкладке User Groups (группы пользователей), выберите группы пользователей, на которые предполагается распространить действие политики TS RAP.
8. Укажите в диалоговом окне Select Groups расположение и имя группы пользователей, а затем нажмите кнопку OK. Указать несколько групп пользователей можно одним из двух способов:
ввести имена всех групп пользователей, разделив их точками с запятой;
добавить группы из других доменов, повторив действия, описанные в п. 7, по отношению к каждой из них.
9. На вкладке Computer Group (группа компьютеров) укажите группу компьютеров, к которой пользователи смогут подключаться через шлюз служб терминалов, одним из следующих способов.
Чтобы указать существующую группу безопасности, установите параметр Select an existing Active Directory security group (выбрать существующую группу безопасности Active Directory) и нажмите кнопку Browse (обзор). Укажите в диалоговом окне Select Group расположение и имя группы пользователей, а затем нажмите кнопку OK. В данном случае можно выбрать группу безопасности не из доменных служб Active Directory, а из числа локальных пользователей и групп.
Чтобы указать группу компьютеров, находящуюся под управлением шлюза служб терминалов, установите параметр Select an existing TS Gateway-managed computer group or create a new one и нажмите кнопку Browse. В диалоговом окне Select a TS Gateway-managed Computer Group (выбор группы компьютеров под управлением шлюза служб терминалов) выполните одно из следующих действий.
Выберите существующую группу компьютеров под управлением шлюза служб терминалов, щелкнув ее имя, после чего закройте диалоговое окно нажатием кнопки OK.
Создайте новую группу компьютеров под управлением шлюза служб терминалов, нажав кнопку Create New Group (создать новую группу). На вкладке General введите имя и описание новой группы. На вкладке Network Resources (сетевые ресурсы) введите имя либо IP-адрес компьютера или фермы служб терминалов, которую предполагается добавить в группу, и нажмите кнопку Add. Повторите это действие в отношении всех последующих компьютеров, включаемых в группу, и закройте диалоговое окно New TS Gateway-Managed Computer Group (новая группа компьютеров под управлением шлюза служб терминалов) нажатием кнопки OK. Выбрав имя новой группы компьютеров в диалоговом окне Select a TS Gateway-managed Computer Group, закройте это окно нажатием кнопки OK.
Внимание!
Добавляя в список компьютеров, находящихся под управлением шлюза служб терминалов, новый компьютер внутренней сети, имейте в виду, что для того, чтобы удаленные пользователи могли подключаться к этому компьютеру как по имени, так и по IP-адресу, его необходимо включить в группу дважды (в первый раз указав его имя, а во второй – IP-адрес). Если при включении компьютера в группу компьютеров указать только его IP-адрес, то при подключении к нему через шлюз служб терминалов пользователи также будут вынуждены указывать IP-адрес. Чтобы гарантированно ограничить круг компьютеров внутренней сети, к которым пользователи смогут подключаться, рекомендуется не указывать IP-адреса компьютеров в том случае, если они не являются статическими. В частности, указывать IP-адреса не следует, если назначение IP-адресов компьютерам в организации осуществляется с помощью протокола DHCP.
Чтобы указать произвольный сетевой ресурс, установите параметр Allow users to connect to any network resource (разрешить пользователям подключаться к любым сетевым ресурсам) и нажмите кнопку OK.
10. После выбора группы компьютеров созданная политика TS RAP появится в области результатов диспетчера шлюза служб терминалов. Выбрав имя политики, можно ознакомиться с ее параметрами в нижней части области.
|
6. Определение максимального числа одновременных соединений, устанавливаемых через шлюз служб терминалов (факультативная задача)
По умолчанию, за исключением случаев, когда сервер шлюза служб терминалов работает под управлением ОС Windows Server® 2008 Standard, число одновременных клиентских соединений с ресурсами внутренней сети не ограничивается. В целях оптимизации производительности сервера шлюза служб терминалов, а также для реализации действующих в организации политик подключения и безопасности разумно ограничить число одновременных клиентских подключений к сетевым ресурсам через сервер шлюза служб терминалов.
Примечание
Серверы шлюзов служб терминалов, работающие под управлением ОС Windows Server 2008 Standard, поддерживают до 250 одновременных соединений.
Определение максимально допустимого числа соединений, устанавливаемых через шлюз служб терминалов
-
|
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Monitoring (наблюдение) в дереве консоли.
4. Щелкните папку Monitoring правой кнопкой мыши и в контекстном меню выберите команду Edit Connection Limit (изменить лимит соединений).
5. В секции Maximum Connections (максимальное число подключений) вкладки General выполните одно из следующих действий.
Чтобы определить максимальное число одновременных соединений между клиентами служб терминалов и ресурсами внутренней сети через шлюз служб терминалов, установите параметр Limit maximum allowed simultaneous connections to (ограничить максимальное число одновременных подключений) и укажите искомое число.
Чтобы отказаться от установки максимально допустимого числа соединений между клиентами и ресурсами внутренней сети через шлюз служб терминалов, установите параметр Allow the maximum supported simultaneous connections (разрешить максимальное поддерживаемое число одновременных подключений). Этот параметр выбран по умолчанию. Следует иметь в виду, что серверы шлюзов служб терминалов, работающие под управлением ОС Windows Server 2008 Standard, поддерживают до 250 одновременных соединений.
Чтобы запретить организацию новых соединений между клиентами и ресурсами внутренней сети через шлюз служб терминалов, установите параметр Disable new connections (запретить новые подключения). При выборе этого параметра сервер будет отказывать в организации новых соединений. Ранее установленные соединения разорваны не будут.
6. Нажмите кнопку OK.
|
|
