วิธีปิดใช้งานการเข้าถึง RDP สำหรับผู้ดูแลระบบ


24

เราต้องไม่อนุญาตให้บัญชีผู้ดูแลระบบโดเมนเข้าถึงเซิร์ฟเวอร์โดยตรงผ่าน RDP นโยบายของเราคือการเข้าสู่ระบบในฐานะผู้ใช้ปกติแล้วใช้ Run As Admin functionallity เราจะตั้งค่านี้ได้อย่างไร

เซิร์ฟเวอร์ที่สงสัยกำลังเรียกใช้ Windows Server 2012 R2 พร้อมโฮสต์เดสก์ท็อประยะไกลระยะไกลและการเก็บรวบรวม RD ตามเซสชัน กลุ่มผู้ใช้ที่ได้รับอนุญาตไม่มีผู้ใช้โดเมนผู้ดูแลระบบ แต่อย่างใดเขาก็ยังสามารถเข้าสู่ระบบ

ขอขอบคุณ.


คุณทำไม่ได้ (filler)
kinokijuf

1
ฉันไม่เคยได้ยินใครตั้งค่าสิทธิ์สำหรับผู้ดูแลระบบโดเมน ... haha
pulsarjune

นโยบายใดที่คุณปรับเปลี่ยนระบุรายการในคำถามของคุณ
Ramhound

@Ramhound ฉันไม่คิดว่าจะใช้ GPO ฉันคิดว่านี่เป็นเพียงเรื่องของการตั้งค่าแท็บ Remote Desktop Services อย่างใด
r0b0

1
@ pulsarjune ฉันมาจากพื้นหลัง unix ที่ค่อนข้างบ่อยในการปิดการใช้งานการเข้าสู่ระบบผ่านทาง ssh และใช้ su / sudo เท่านั้น นี่ไม่ใช่กรณีใน Windows ฉันคิดว่า?
r0b0

คำตอบ:


31

นี่เป็นสิ่งที่คุณกำลังมองหา: http://support.microsoft.com/kb/2258492

ในการปฏิเสธผู้ใช้หรือการเข้าสู่ระบบกลุ่มผ่าน RDP ให้ตั้งค่าสิทธิ์ "ปฏิเสธการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล" อย่างชัดเจน ในการเข้าถึงตัวแก้ไขนโยบายกลุ่ม (ภายในเครื่องกับเซิร์ฟเวอร์หรือจาก OU) และตั้งค่าสิทธิ์นี้:

  1. เริ่ม | เรียกใช้ | Gpedit.msc หากแก้ไขนโยบายท้องถิ่นหรือเลือกนโยบายที่เหมาะสมและแก้ไข

  2. การกำหนดค่าคอมพิวเตอร์ การตั้งค่า Windows | การตั้งค่าความปลอดภัย | นโยบายท้องถิ่น การมอบหมายสิทธิ์ของผู้ใช้

  3. ค้นหาและดับเบิลคลิก "ปฏิเสธการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล"

  4. เพิ่มผู้ใช้และ / หรือกลุ่มที่คุณต้องการเข้าถึง dny

  5. คลิกตกลง

  6. เรียกใช้ gpupdate / force / target: คอมพิวเตอร์หรือรอการรีเฟรชนโยบายครั้งถัดไปเพื่อให้การตั้งค่านี้มีผล


ทุกคนทดสอบว่าใช้งานได้หรือไม่
Pacerier

3
ผมคิดว่ามันจะดีกว่าที่จะเอาผู้บริหารจาก "อนุญาตให้เข้าสู่ระบบ" และเพิ่มผู้ดูแลระบบของแต่ละบุคคลที่ "ผู้ใช้สก์ท็อประยะไกล" กลุ่ม
ลุ่มน้ำ

@Pacerier ฉันได้ทำการทดสอบในปี 2012R2 แล้วและได้ผล ความพยายามครั้งต่อไปใน RDP บอกฉันว่าฉันต้องการสิทธิ์ในการลงชื่อเข้าใช้ผ่านบริการเดสก์ท็อประยะไกล ฉันยังคงสามารถใช้ RDP ในฐานะผู้ใช้รายอื่นได้และสามารถเชื่อมต่อกับเซสชันเดสก์ท็อปที่มีอยู่ของผู้ดูแลระบบผ่านตัวจัดการงานได้
mwfearnley

ขอขอบคุณ! จริงๆแล้วฉันกำลังค้นหาวิธีที่จะป้องกันไม่ให้ชื่อผู้ใช้เข้าสู่ระบบในเครื่อง (สร้างเป็นผู้ใช้ RDP เท่านั้น) และฉันพบว่าติดกับชื่อนี้ เรียบร้อย
Evengard

-3

ฉันสร้างเครื่องมืออย่างง่ายที่ทำสิ่งนี้และเพิ่มคุณสมบัติอื่น ๆ ให้คู่คุณสามารถหาคำอธิบายได้ที่นี่: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

แต่เป็นหลักคุณสามารถทำได้ผ่านบรรทัดคำสั่ง:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

2
คำสั่งนี้ปิดใช้งานการเชื่อมต่อเดสก์ท็อประยะไกลสำหรับผู้ใช้ทุกคนไม่เพียง แต่บัญชีผู้ดูแลโดเมนตามที่ OP ร้องขอ
ฉันพูดว่า Reinstate Monica
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.