วิธีปิดใช้งานการเข้าถึง RDP สำหรับผู้ดูแลระบบ

เราต้องไม่อนุญาตให้บัญชีผู้ดูแลระบบโดเมนเข้าถึงเซิร์ฟเวอร์โดยตรงผ่าน RDP นโยบายของเราคือการเข้าสู่ระบบในฐานะผู้ใช้ปกติแล้วใช้ Run As Admin functionallity เราจะตั้งค่านี้ได้อย่างไร

เซิร์ฟเวอร์ที่สงสัยกำลังเรียกใช้ Windows Server 2012 R2 พร้อมโฮสต์เดสก์ท็อประยะไกลระยะไกลและการเก็บรวบรวม RD ตามเซสชัน กลุ่มผู้ใช้ที่ได้รับอนุญาตไม่มีผู้ใช้โดเมนผู้ดูแลระบบ แต่อย่างใดเขาก็ยังสามารถเข้าสู่ระบบ

ขอขอบคุณ.

remote-desktop windows-terminal-services windows-server-2012-r2

— r0b0
แหล่งที่มา

คุณทำไม่ได้ (filler)

— kinokijuf

ฉันไม่เคยได้ยินใครตั้งค่าสิทธิ์สำหรับผู้ดูแลระบบโดเมน ... haha

— pulsarjune

นโยบายใดที่คุณปรับเปลี่ยนระบุรายการในคำถามของคุณ

— Ramhound

@Ramhound ฉันไม่คิดว่าจะใช้ GPO ฉันคิดว่านี่เป็นเพียงเรื่องของการตั้งค่าแท็บ Remote Desktop Services อย่างใด

— r0b0

@ pulsarjune ฉันมาจากพื้นหลัง unix ที่ค่อนข้างบ่อยในการปิดการใช้งานการเข้าสู่ระบบผ่านทาง ssh และใช้ su / sudo เท่านั้น นี่ไม่ใช่กรณีใน Windows ฉันคิดว่า?

— r0b0

คำตอบ:

นี่เป็นสิ่งที่คุณกำลังมองหา: http://support.microsoft.com/kb/2258492

ในการปฏิเสธผู้ใช้หรือการเข้าสู่ระบบกลุ่มผ่าน RDP ให้ตั้งค่าสิทธิ์ "ปฏิเสธการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล" อย่างชัดเจน ในการเข้าถึงตัวแก้ไขนโยบายกลุ่ม (ภายในเครื่องกับเซิร์ฟเวอร์หรือจาก OU) และตั้งค่าสิทธิ์นี้:

เริ่ม | เรียกใช้ | Gpedit.msc หากแก้ไขนโยบายท้องถิ่นหรือเลือกนโยบายที่เหมาะสมและแก้ไข

การกำหนดค่าคอมพิวเตอร์ การตั้งค่า Windows | การตั้งค่าความปลอดภัย | นโยบายท้องถิ่น การมอบหมายสิทธิ์ของผู้ใช้

ค้นหาและดับเบิลคลิก "ปฏิเสธการเข้าสู่ระบบผ่านบริการเดสก์ท็อประยะไกล"

เพิ่มผู้ใช้และ / หรือกลุ่มที่คุณต้องการเข้าถึง dny

คลิกตกลง

เรียกใช้ gpupdate / force / target: คอมพิวเตอร์หรือรอการรีเฟรชนโยบายครั้งถัดไปเพื่อให้การตั้งค่านี้มีผล

— cornasdf
แหล่งที่มา

ทุกคนทดสอบว่าใช้งานได้หรือไม่

— Pacerier

ผมคิดว่ามันจะดีกว่าที่จะเอาผู้บริหารจาก "อนุญาตให้เข้าสู่ระบบ" และเพิ่มผู้ดูแลระบบของแต่ละบุคคลที่ "ผู้ใช้สก์ท็อประยะไกล" กลุ่ม

— ลุ่มน้ำ

@Pacerier ฉันได้ทำการทดสอบในปี 2012R2 แล้วและได้ผล ความพยายามครั้งต่อไปใน RDP บอกฉันว่าฉันต้องการสิทธิ์ในการลงชื่อเข้าใช้ผ่านบริการเดสก์ท็อประยะไกล ฉันยังคงสามารถใช้ RDP ในฐานะผู้ใช้รายอื่นได้และสามารถเชื่อมต่อกับเซสชันเดสก์ท็อปที่มีอยู่ของผู้ดูแลระบบผ่านตัวจัดการงานได้

— mwfearnley

ขอขอบคุณ! จริงๆแล้วฉันกำลังค้นหาวิธีที่จะป้องกันไม่ให้ชื่อผู้ใช้เข้าสู่ระบบในเครื่อง (สร้างเป็นผู้ใช้ RDP เท่านั้น) และฉันพบว่าติดกับชื่อนี้ เรียบร้อย

— Evengard

-3

ฉันสร้างเครื่องมืออย่างง่ายที่ทำสิ่งนี้และเพิ่มคุณสมบัติอื่น ๆ ให้คู่คุณสามารถหาคำอธิบายได้ที่นี่: https://www.linkedin.com/pulse/combating-ransomware-wannacry-more-home-user-edition-djenane

แต่เป็นหลักคุณสามารถทำได้ผ่านบรรทัดคำสั่ง:

Reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurentControlSet\Control\Terminal Server”  /v fDenyTSConnections /t REG_DWORD /d 0 /f

— Djenane
แหล่งที่มา

คำสั่งนี้ปิดใช้งานการเชื่อมต่อเดสก์ท็อประยะไกลสำหรับผู้ใช้ทุกคนไม่เพียง แต่บัญชีผู้ดูแลโดเมนตามที่ OP ร้องขอ

— ฉันพูดว่า Reinstate Monica