Ограничить пользователя одним сеансом windows 2012

As everyone knows with the introduction of Windows Server 2012 & 2012 R2, there are various changes and no more availability for RDSH configurations or Remote Desktop Service Manager;
now we can manage all the settings under Server Manager and group policy.

Configuration 1: Remote Desktop Timeout settings:

Here, we will see the Remote Desktop timeout settings. You can maintain the settings under below mention path (Figure 1 and Figure 2).

1. Open the
   Server Manager, select Remote Desktop Services.
2. In Remote desktop Services, in right side you can drop down to
   collections.
3. Select the
   collection which you want to edit the settings.
4. Under
   collections Properties, select Task and then Edit Properties.
5. In Properties dialog box, select
   Session.
6. You can find all the
   timeout settings under session collection properties; edit according to your requirements and then
   OK.

Figure 1: Selecting Collection Properties

Figure 2: Configuring screen for Timeout and reconnection Settings

Group policy setting:

The same settings can also be applied by Group Policy.

You can also configure timeout and reconnection settings by applying the following Group Policy settings, you can check the figure 3 for graphical view.

—         
Set time limit for disconnected sessions

—         
Set time limit for active but idle Remote Desktop Services sessions

—         
Set time limit for active Remote Desktop Services sessions

—         
End session when time limits are reached

In addition to this another group policy available with the help of which you can bale to set time limit for logging off the RemoteApp according to our desired time. This setting
can be applied with addition to above mentioned policy.

—         
Set time limit for logoff of RemoteApp Sessions

These Group Policy settings are located in the following locations:

Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits

User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits

These Group Policy settings can be configured by using either the Local Group Policy Editor or the Group Policy Management Console (GPMC).

Note:

These Group Policy settings will take precedence over the settings configured in Remote Desktop Session Host Configuration. If both the Computer Configuration and the User Configuration policy
settings are configured, the Computer Configuration policy settings take precedence.

Figure 3: Group Policy for setting Timeout and reconnection setting

Configuration 2:
Restrict & Enable user to a single & multiple session

Under Windows Server 2012 & 2012 R2, there is no specific setting under RDP-TCP as it is not available.

1. Restrict User to Single session:

To restrict the user to single session (Disable Multiple RDP Session) you can configure the setting under group policy (Figure 4).

Computer Configuration Administrative Templates Windows Components Remote Desktop Services Remote Desktop Session Host Connections

Restrict Remote Desktop Services users to a single Remote Desktop Services session     Enabled

Figure 4: Group policy for Restrict user to Single session

1. Enable user to multiple session:

To enable the user to multiple session you can configure the setting under below (Figure 5).

Computer Configuration Administrative Templates Windows Components Remote Desktop Services Remote Desktop Session Host Connections

Restrict Remote Desktop Services users to a single Remote Desktop Services session     Disabled

Figure 5: Group Policy for Enable user to Multiple Session

In addition you can also edit the registry setting for allowing multiple RDP session as per below (Figure 6).

HKEY_Local_MachineSYSTEMCurrentControlSetControlTerminal Server

fSingleSessionPerUser     REG_DWORD     0x00000000

Note: By default the registry value is set to 1, but you need to change to 0.

Figure 6: Display the registry settings

Also you can edit the policy “Limit number of connections” and set RD Maximum collection as per your company
requirements (Maximum limit: 999999) for above mention group policy path (Figure 7).

Figure 7: Group Policy for Limit number of Connections

Apart from this, if you have not specified any policy or registry setting and still you want to restrict the new session, then in Windows Server 2012 & 2012 R2 there is option where you
need to follow below steps (Figure 8 and Figure 9).

1. Right click a Remote Desktop Session Host in specified location of Host Server and select “Do not allow new connections”.
2. After clicking that it will ask you for your confirmation, click yes and no new connection will be allowed.
   

Figure 8: Setting displaying “Do not allow new connections”

Figure 9: Confirmation popup

RD Gateway Connection Properties:

If you have deployed RD Gateway under your environment you can also limit the number of simultaneous connections through RD Gateway by configuring
policy under RD Gateway Manager. For this you need to follow below mention path.

1. Open RD Gateway Manager, select the server which you want to modify.
2. Right click Properties.
3. Under General Tab

—Limit maximum allowed simultaneous
connections to:Specify the number of connection you want to able to provide connection.

—Allow the maximum
supported simultaneous connections:This
setting will allow maximum supported connections at a time.

—Disable new connections:This
setting will not allow new connections through RD Gateway but Active connection will not be automatically disconnected.

Select the option as per requirement which able to allow the connection

Figure 10: Connections setting under RD Gateway Manager

Configuration 3: Configure keep-alive connection interval

As per above mention in initial post you can able to change the setting for Keep alive connection interval. In addition to this also verify the
registry setting must be set as per following (Figure 11 and Figure 12).

HKEY_Local_Machine SOFTWARE Policies Microsoft Windows NT Terminal Services

KeepAliveEnable       REG_DWORD           0x00000001 (1)

KeepAliveInterval     
REG_DWORD           0x00000001 (1)

Figure 11: Group Policy setting for Keep alive

Figure 12: Registry setting for keep alive

If you need further assistance, welcome to post your questions in our
Remote Desktop Services (Terminal Services) forum.

If you would like to achieve this in Windows Server 2008 or Windows Server 2008 R2, please move on to the next post.

As everyone knows with the introduction of Windows Server 2012 & 2012 R2, there are various changes and no more availability for RDSH configurations or Remote Desktop Service Manager;
now we can manage all the settings under Server Manager and group policy.

Configuration 1: Remote Desktop Timeout settings:

Here, we will see the Remote Desktop timeout settings. You can maintain the settings under below mention path (Figure 1 and Figure 2).

1. Open the
   Server Manager, select Remote Desktop Services.
2. In Remote desktop Services, in right side you can drop down to
   collections.
3. Select the
   collection which you want to edit the settings.
4. Under
   collections Properties, select Task and then Edit Properties.
5. In Properties dialog box, select
   Session.
6. You can find all the
   timeout settings under session collection properties; edit according to your requirements and then
   OK.

Figure 1: Selecting Collection Properties

Figure 2: Configuring screen for Timeout and reconnection Settings

Group policy setting:

The same settings can also be applied by Group Policy.

You can also configure timeout and reconnection settings by applying the following Group Policy settings, you can check the figure 3 for graphical view.

—         
Set time limit for disconnected sessions

—         
Set time limit for active but idle Remote Desktop Services sessions

—         
Set time limit for active Remote Desktop Services sessions

—         
End session when time limits are reached

In addition to this another group policy available with the help of which you can bale to set time limit for logging off the RemoteApp according to our desired time. This setting
can be applied with addition to above mentioned policy.

—         
Set time limit for logoff of RemoteApp Sessions

These Group Policy settings are located in the following locations:

Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits

User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits

These Group Policy settings can be configured by using either the Local Group Policy Editor or the Group Policy Management Console (GPMC).

Note:

These Group Policy settings will take precedence over the settings configured in Remote Desktop Session Host Configuration. If both the Computer Configuration and the User Configuration policy
settings are configured, the Computer Configuration policy settings take precedence.

Figure 3: Group Policy for setting Timeout and reconnection setting

Configuration 2:
Restrict & Enable user to a single & multiple session

Under Windows Server 2012 & 2012 R2, there is no specific setting under RDP-TCP as it is not available.

1. Restrict User to Single session:

To restrict the user to single session (Disable Multiple RDP Session) you can configure the setting under group policy (Figure 4).

Computer Configuration Administrative Templates Windows Components Remote Desktop Services Remote Desktop Session Host Connections

Restrict Remote Desktop Services users to a single Remote Desktop Services session     Enabled

Figure 4: Group policy for Restrict user to Single session

1. Enable user to multiple session:

To enable the user to multiple session you can configure the setting under below (Figure 5).

Computer Configuration Administrative Templates Windows Components Remote Desktop Services Remote Desktop Session Host Connections

Restrict Remote Desktop Services users to a single Remote Desktop Services session     Disabled

Figure 5: Group Policy for Enable user to Multiple Session

In addition you can also edit the registry setting for allowing multiple RDP session as per below (Figure 6).

HKEY_Local_MachineSYSTEMCurrentControlSetControlTerminal Server

fSingleSessionPerUser     REG_DWORD     0x00000000

Note: By default the registry value is set to 1, but you need to change to 0.

Figure 6: Display the registry settings

Also you can edit the policy “Limit number of connections” and set RD Maximum collection as per your company
requirements (Maximum limit: 999999) for above mention group policy path (Figure 7).

Figure 7: Group Policy for Limit number of Connections

Apart from this, if you have not specified any policy or registry setting and still you want to restrict the new session, then in Windows Server 2012 & 2012 R2 there is option where you
need to follow below steps (Figure 8 and Figure 9).

1. Right click a Remote Desktop Session Host in specified location of Host Server and select “Do not allow new connections”.
2. After clicking that it will ask you for your confirmation, click yes and no new connection will be allowed.
   

Figure 8: Setting displaying “Do not allow new connections”

Figure 9: Confirmation popup

RD Gateway Connection Properties:

If you have deployed RD Gateway under your environment you can also limit the number of simultaneous connections through RD Gateway by configuring
policy under RD Gateway Manager. For this you need to follow below mention path.

1. Open RD Gateway Manager, select the server which you want to modify.
2. Right click Properties.
3. Under General Tab

—Limit maximum allowed simultaneous
connections to:Specify the number of connection you want to able to provide connection.

—Allow the maximum
supported simultaneous connections:This
setting will allow maximum supported connections at a time.

—Disable new connections:This
setting will not allow new connections through RD Gateway but Active connection will not be automatically disconnected.

Select the option as per requirement which able to allow the connection

Figure 10: Connections setting under RD Gateway Manager

Configuration 3: Configure keep-alive connection interval

As per above mention in initial post you can able to change the setting for Keep alive connection interval. In addition to this also verify the
registry setting must be set as per following (Figure 11 and Figure 12).

HKEY_Local_Machine SOFTWARE Policies Microsoft Windows NT Terminal Services

KeepAliveEnable       REG_DWORD           0x00000001 (1)

KeepAliveInterval     
REG_DWORD           0x00000001 (1)

Figure 11: Group Policy setting for Keep alive

Figure 12: Registry setting for keep alive

If you need further assistance, welcome to post your questions in our
Remote Desktop Services (Terminal Services) forum.

If you would like to achieve this in Windows Server 2008 or Windows Server 2008 R2, please move on to the next post.

Для экономии ресурсов в операционных системах Windows по умолчанию реализовано такое правило, что каждый пользователь может иметь лишь один сеанс входа в систему (активный или отключенный — без разницы). Разберём как отключить ограничение пользователей одним единственным сеансом. И как его включить обратно, если возникнет такая необходимость.

Как известно, пользователь может логиниться в операционную систему как находясь непосредственно перед серверов, так и удалённо. Для Windows в данном случае это не имеет значения, сеанс всё равно будет один. Например, Вы подключились к серверу через удалённый рабочий стол, а затем зашли в серверную и залогинились непосредственно оттуда — Ваша RDP-сессия будет прекращена. Кроме того, если в ОС «висит» Ваш отключенный сеанс, при новом подключении не произойдёт создание нового активного сеанса. Такой принцип подключения к системе логичен, ОС не захламляется пользовательскими сеансами, на это не тратятся вычислительные ресурсы. Хотя иногда данный подход и может показаться неудобным.

Ещё не так давно настройка для серверных и клиентских версий Windows отличалась. Если говорить о серверах терминалов, то раньше подобную настройку можно было осуществить через консоль Конфигурация узла сеансов удаленных рабочих столов. Находится эта оснастка в разделе Администрирование → Службы удаленных рабочих столов.

Двойным щелчком мыши щелкните по параметру, который хотите изменить, это откроет окно свойств. Интересующий нас пункт называется Ограничить всех пользователей одиночными сеансами. Снимите галочку, если хотите снять этот запрет. Если же ограничение единственным сеансом всё же нужно, верните галочку на место.

Начиная с серверной редакции 2012 года, настройка сеансов удалённых рабочих столов претерпела существенные изменения. Поэтому придётся рассмотреть другой вариант — через групповые политики. Он универсальный.

Открываем Редактор локальной групповой политики того устройства, на котором хотим разрешить множественные сеансы одной учётной записи. Нам нужен раздел Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Подключения. Интересующий нас параметр называется Ограничить пользователей службы удаленных рабочих столов одним сеансом служб удаленных рабочих столов.

По умолчанию значение параметра не задано, это значит, что оно берётся из конфигурации узла сеансов удалённых рабочих столов. Если хотите снять ограничение, выберите значение Отключить в свойствах параметра.

Если же ограничение одним сеансом удалённого рабочего стола нужно принудительно включить, выберите вариант Включить.

Отмечу, что значение параметра групповой политики имеет приоритет над конфигурацией узла сеансов удалённых рабочих столов (актуально для Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2).

Май 16, 2016 11:24

Микрософт с большим отставанием от разработчиков реализовал на терминальном сервере публикацию отдельных приложений. Технологию назвали RemoteApp. Пока речь идет о доступе к опубликованным приложениям через web-интерфейс, все выглядит красиво, но пользователям не удобно заходить в браузер (а браузер – это значит медленно), да и сам подход непривычен, а непривычное, как правило, воспринимается большинством пользователей негативно. Микрософт решил этот вопрос раздачей юзерам на рабочий стол готовых значков, настроенных на запуск конкретного приложения. Но тут все начинают понимать, что web-интерфейс – это оболочка, а под ней все тот же старый добрый DOS, пардон, RDP. И сразу хочется понять, а что там с правами доступа. Жмем Win+R, mstsc, Enter. Оп-па-на!  Мы сделали для конкретного пользователя возможность запускать только одну единственную программу, а он спокойно погуливает по серверу, как у себя дома…

Права доступа на терминальный сервер и к RemoteApp

Опубликованные приложения группируются в коллекции. Для доступа к приложению у пользователя должны быть права и на запуск этого приложения и на доступ к коллекции, в которую оно входит, иначе он программу не запустит.

Назначение прав предусмотрено через права к коллекции. При этом автоматически тот же набор прав передается в привычную группу безопасности терминального сервера Пользователи удаленного рабочего стола. Если впоследствии изменить набор прав в этой группе, то действовать будут именно они, а не те, что были заданы в правах на коллекцию. И права на коллекцию будут просто игнорироваться, пока не будут заданы именно для коллекции, т.е. через интерфейс управления коллекцией (при этом обновится список доступа в группе Пользователи удаленного рабочего стола).

Таким образом, если у определенного пользователя есть право на запуск какой-то одной опубликованной программы, то он может беспрепятственно логиниться на рабочий стол этого терминального сервера традиционным способом.

Для кого-то это не имеет никакого значения, но это в любом случае ненормально, а в большинстве организаций – неприемлемо.

Штатного решения найти не удалось, но есть обходные пути.

А. Можно в AD в свойствах учетной записи на вкладке «Среда» задать запуск нужной программы при входе. Но тогда пользователь сможет работать только с одной программой на ТС.

Б. Можно там же на вкладке «Среда» задать запуск logoff.exe, а программы раздавать через настроенные значки. Тогда при входе через mstsc сеанс такого пользователя будет сразу же автоматически завершаться.

Надо понимать, что настройка из пунктов (А) и (Б) будет касаться входа на любой терминальный сервер, а их в общем случае может быть несколько, на каждом свои программы, где-то просто нужен доступ к рабочему столу сервера.

Чувствуется, что это надо разруливать через GPO, но параметры пользователя применяются только к пользователям, а не к серверам, а нам надо, чтобы параметры, заданные для пользователя (например, напуск при входе logoff.exe) применялись к конкретным пользователям на конкретных серверах. Тут на помощь приходит волшебный параметр Computer Configuration ⇒ Policies ⇒ Administrative Templates ⇒ System ⇒ Group Policy ⇒ User Group Policy loopback processing mode.

Последовательность действий

1. Создаем в AD группу безопасности, назовем её «TS1_Restrict_Obj».

2. Добавляем в группу «TS1_Restrict_Obj» пользователей, для которых нужно сделать ограничения. (Возможно, для конкретных задач потребуются более мягкие ограничения, а не logoff.exe. Или наоборот, нужно сделать что-то хорошее, скажем, отключить на терминальном сервере пароль на хранитель экрана, чтобы юзерам не приходилось вводить пароль дважды: на своей рабочей станции и на терминале.)

3. Добавляем в группу «TS1_Restrict_Obj» терминальный сервер, на котором нужно применить наши ограничения для заданных пользователей. Если нужно применить эти правила для разных серверов и одних и тех же пользователей, то добавляем сюда же и все эти терминальные серверы.

4. В групповых политиках создаем новый GPO (например, «TS1_Restrict») и связываем его с контейнером, в котором находится наш терминальный сервер(ы). Можно сделать отдельный контейнер (OU), в который вынести этот сервер(ы).

5. В SecurityFilteringдля вновь созданного GPO«TS1_Restrict» Удаляем записи, которые там создаются по умолчанию и добавляем нашу группу «TS1_Restrict_Obj».

6. Открываем на редактирование GPO «TS1_Restrict»

Computer Configuration ⇒ Policies ⇒ Administrative Templates ⇒ System ⇒ Group Policy ⇒ User Group Policy loopback processing mode = Merge (или Replace)

User Configuration ⇒ Policies ⇒ Administrative Templates ⇒ Windows Components ⇒ Remote Desktop Services ⇒ Remote Desktop Session Host ⇒ Remote Session Environment ⇒ Program path and file name = logoff.exe
Или делаем здесь другие ограничения, в зависимости от решаемой задачи.

7. Вы, наверное, будете смеяться, но для применения этой конструкции необходимо перезагрузить сервер, к которому применяется политика. Причем, отключение политики выполняется сразу, достаточно удалить сервер из группы безопасности «TS1_Restrict_Obj», а для подключения – требуется перезагрузка.

Теперь при попытке пользователей, входящих в группу «TS1_Restrict_Obj», войти на данный терминальный сервер сразу же после входа будет происходить завершение сеанса. При этом опубликованные для этих пользователей приложения RemoteApp будут работать как через web-интерфейс, так и через файлы .RDP.

Примечание:

Не обязательно включать параметры пользователей и параметр User Group Policy loopback processing mode в один и тот же GPO. Просто если «замыкание» (loopback) включено для какого-то сервера, то политики пользователя будут применяться к этому серверу.

Настройка лимитов (таймаутов) RDP-сессий на терминальном сервере Windows

Обновлено: 26.01.2021
Опубликовано: 12.06.2017

Тематические термины: терминальный сервер, Windows

По умолчанию, на терминальном сервере RDP-сессия длится до тех пор, пока пользователь ее явно не прервет. В некоторых случаях, это может привести к зависанию профиля или некоторых запущенных приложений.

Рекомендуется задавать лимит на сеансы, по достижении которого принудительно завершать терминальные сессии и выполнять выход пользователя из системы.

Настройка на терминальном сервере

Сессии можно настроить для конкретного сервера в настройках сервера терминалов. Процесс немного отличается в зависимости от версии операционной системы Windows.

Windows 2012 и выше

В диспетчере серверов переходим в службы удаленных рабочих столов:

Переходим в коллекцию, для которой хотим поменять настройки сеанса:

В свойствах коллекции кликаем по Задачи — Изменить свойства:

Переходим в раздел Сеанс и выставляем ограничения:

* где Окончание разъединенного сеанса — время, через которое для пользователей с завершенными сеансами произойдет выход из системы; Ограничение бездействующего сеанса — время, через которое сеанс перейдет в разъединенный, если пользователь в нем не работает (не проявляет никакой активности).
 

Windows 2008 R2 и ниже

Нажимаем Пуск — Администрирование — Службы удаленных рабочих столов — Конфигурация узла сеансов удаленных рабочих столов:

В разделе «Подключения» дважды кликаем по RDP-Tcp:

На вкладке «Сеансы» ставим галочку Переопределить параметры пользователя и выставляем необходимые лимиты:

* где Завершение отключенного сеанса — время, по достижении которого отключенный сеанс будет завершен, а для пользователя будет выполнен выход; Ограничение бездействующего сеанса — ограничение на сеанс, в котором пользователь не работает.

Настройка через GPO

Если терминальных серверов много или необходимо централизованно задать политику ограничения сессий, можно воспользоваться групповыми политиками Active Directory.

Заходим в консоль управления политиками — создаем политику с любым понятным названием — переходим в настройку созданной политики.

В зависимости от необходимости применять политику к пользователям и/или компьютерам, используем следующие ветки для настройки:

• Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени
  (Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits)
• Конфигурация пользователяПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени
  (User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits)

* если для пользователей и компьютеров используются отдельные организационные юниты, необходимо создавать политику в соответствующей ветке.

Для настройки выставляем следующие значения:

Параметр	Описание	Значения
Завершать сеанс при достижении ограничения по времени (End session when time limits are reached)	Задает глобальную настройку, которая разрешает или запрещает лимиты, в принципе.	Включено — включает режим ограничения сессий (для нашей цели выбираем это значение). Отключено — выключает и запрещает лимиты. Не задано — выключает для политик, но разрешает локальные настройки на сервере.
Задать ограничение по времени для активных, но бездействующих сеансов служб удаленных рабочих столов (Set time limit for active but idle Terminal Services sessions)	Если пользователь завершил работу с сервером, но не завершил сеанс, можно установить ограничение сессии этим параметром. Таким образом, пользователи, которые не завершают сеанс будут автоматически выкинуты из сессии.	Включено — активируем лимит для бездействующих сеансов (выставляем ее). И в выпадающем списке указываем время бездействия, например 3 часа. Отключено — отключает лимит на бездействующие сессии. Не задано — настройка задается локально на сервере.
Задать ограничение по времени для отключенных сеансов (Set time limit for disconnected sessions)	Если пользователь отключил сеанс, но не вышел из системы, можно автоматически его разлогинить с помощью этой опции.	Включено — активируем лимит для завершенных сеансов (выставляем ее). И в выпадающем списке указываем время, например 3 часа. Отключено — отключает лимит на завершенные сессии. Не задано — настройка задается локально на сервере.
Задать ограничение по времени для активных сеансов служб удаленных рабочих столов (Set time limit for active Remote Desktop Services sessions)	Независимо от того, работает пользователь в системе или нет, сервер завершит его сеанс, отправив уведомление за 2 минуты до отключения.	Включено — активируем лимит для активных сеансов. В выпадающем списке необходимо указать время. Данную опцию лучше не применять. С практической точки зрения опция создаст много неудобств. Отключено — отключает лимит на завершенные активные сессии. Не задано — настройка задается локально на сервере.

Для применения настроек ждем или выполняем команду на сервере:

gpupdate /force

Проверяем, применились ли политики:

gpresult /r

Использование фильтров

Если нам необходимо применить ограничения через политики только для определенных серверов/пользователей, применяем фильтры безопасности.

Для этого создаем группу в Active Directory и добавляем туда нужные серверы (или пользователей).

Проверяем, что нужные нам серверы или пользователи стали членами созданной группы.

а) команда для проверки компьютера:

gpresult /r /scope:computer

б) для пользователя:

gpresult /r /scope:user

Если в созданной группе компьютера/пользователя нет, то:

а) для пользователя выходим из сеанса сервера и подключаемся по новой.

б) на сервере выполняем команды:

klist -lh 0 -li 0x3e7 purge

gpupdate /force

Если в нашей среде Active Directory несколько сайтов, то наши настройки могут появиться на нужном контроллере через несколько минут (как правило, до 15). Если нет возможности ждать, можно форсировать процесс репликации с помощью инструмента «Active Directory — сайты и службы».

Далее при создании групповой политики удаляем группу «Прошедние проверку», которая присутствует по умолчанию:

И добавляем созданную ранее, например:

После настраиваем политику по инструкции выше.

Чтобы проверить, что настройка применилась только у нужным нам объектам, на сервере выполняем команду:

gpresult /r

Ограничение количества подключений на сервере терминала

В этой статье описывается, как убедиться, что только один пользователь может подключаться к серверу терминала Windows Server 2003 в удаленном режиме администрирования удаленно или на консоли.

Применяется к: Windows Server 2003
Исходный номер КБ: 830581

Сводка

В этой статье описывается, как убедиться, что только один пользователь может подключаться к серверу терминала Windows Server 2003 в удаленном режиме администрирования удаленно или на консоли. По умолчанию с сервером Windows Server 2003 в режиме удаленного администрирования можно использовать два удаленных сеанса и один сеанс консоли в общей сложности три активных сеанса.

Ограничение количества удаленных сеансов на сервере терминала

1. Чтобы открыть средство конфигурации служб терминалов, нажмите кнопку Начните, указать административные средства, а затем нажмите кнопку Конфигурация служб терминала.
2. В дереве консоли нажмите кнопку Подключения.
3. На правой стороне области щелкните правой кнопкой мыши RDP-Tcp и нажмите кнопку Свойства.
4. На вкладке Сетевой адаптер щелкните, чтобы выбрать 1 из списка Максимальные подключения.
5. На вкладке Разрешения нажмите кнопку Добавить, введите Все в введите имена объектов, чтобы выбрать (примеры) поле, нажмите кнопку Check Names, а затем нажмите кнопку ОК.
6. В области групп или имен пользователей щелкните, чтобы выбрать группу Everyone.
7. В области Разрешения для всех нажмите кнопку «Запретить» для отказа в разрешении на гостевой доступ, а затем нажмите кнопку ОК.

Этот параметр позволяет использовать только одно удаленное подключение, известное как сеанс 0. Это подключение можно сделать только через консоль.

При подключении к сеансу консоли на сервере терминала на Windows xp-компьютере или на компьютере на Windows Server 2003 используйте следующие команды:

Источник

Защита удаленного рабочего стола (RDP)

Часто возникает вопрос — насколько безопасно подключаться через удаленный рабочий стол Windows?

Сеансы удаленного рабочего стола работаю по зашифрованному каналу, не позволяя никому просматривать сеанс путем прослушивания в сети. Однако, есть уязвимость в методе, используемом для шифрования сеансов в более ранних версиях RDP. Эта уязвимость может позволить неавторизованный доступ к вашему сеансу с помощью “Man-in-the-middle attack”.

Удаленный рабочий стол можно защитить с помощью SSL/TLS в Windows Vista, Windows 7, Windows 8, Windows 10 и Windows Server 2003/2008/2012/2016.

Хотя, удаленный рабочий стол более безопасен, чем инструменты удаленного администрирования, такие как VNC, которые не шифруют весь сеанс, каждый раз, когда доступ администратора к системе предоставляется удаленно, возникает риск. Следующие советы помогут защитить удаленный доступ к рабочим столам и серверам, которые вы поддерживаете.

Основные советы по безопасности для удаленного рабочего стола

Используйте надежные пароли

Надежные пароли для любых учетных записей с доступом к удаленному рабочему столу следует рассматривать как обязательный шаг перед включением удаленного рабочего стола.

Парольные фразы должны:

• Содержать восемь символов или более
• Содержать символы из двух из следующих трех классов символов
• По алфавиту (пример: az, AZ)
• Числовой (пример: 0-9)
• Пунктуация и другие символы (пример: ,! @ # $% ^ & * () _ + |

Парольные фразу не должны:

• Производное от имени пользователя
• Слово, найденное в словаре (русском или иностранном)
• Слово из словаря, написанное задом наперед
• Словарное слово, перед котором или за которым следует любой другой одиночный символ (пример: password1, 1password)

Не используйте легко угадываемые пароли. Некоторые примеры паролей, которые легко угадать:

• Имена членов семьи, домашних животных, друзей и т.д.
• Компьютерные термины и названия, команды, сайты, компании, оборудование, программное обеспечение.
• Дни рождения и другая личная информация, такая как адреса и номера телефонов.
• Шаблоны слов и чисел, такие как aaabbb, qwerty, 123321 и т.д.

1. Пароли никогда не следует записывать или хранить в сети.
2. Следует регулярно менять пароли, не реже одного раза в шесть месяцев. Также следует менять свой пароль каждый раз, когда вы подозреваете, что учетная запись была взломана.
3. Попробуйте использовать разные пароли для каждой системы, как минимум, не используйте тот же пароль для любой из ваших учетных записей.

Обновите программное обеспечение

Одним из преимуществ использования удаленного рабочего стола по сравнению с сторонними инструментами удаленного администрирования является то, что компоненты автоматически обновляются с использованием последних исправлений безопасности в стандартном цикле исправлений Microsoft.

• Убедитесь, что используете последние версии клиентского и серверного программного обеспечения, включив и проверив автоматические обновления Microsoft.
• Если используете клиенты удаленного рабочего стола на других платформах, убедитесь, что они все еще поддерживаются и установлены последние версии.
• Более старые версии могут не поддерживать высокий уровень шифрования и могут иметь другие недостатки безопасности.

Ограничьте доступ с помощью брандмауэров

• Используйте брандмауэры, чтобы ограничить доступ к портам удаленного рабочего стола (по умолчанию TCP 3389). Использование шлюза RDP настоятельно рекомендуется для ограничения доступа RDP к рабочим столам и серверам.
• В качестве альтернативы для поддержки подключения за пределами локальный сети можно использовать VPN подключение, чтобы получить IP-адрес виртуальной сети и добавить пул сетевого адреса в правило исключения брандмауэра RDP.

Включите аутентификацию на сетевом уровне

Windows 10, Windows Server 2012 R2/2016/2019 также по умолчанию предоставляют проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, так как NLA обеспечивает дополнительный уровень аутентификации перед установкой соединения. Вы должны настраивать серверы удаленного рабочего стола только для разрешения подключений без NLA, если вы используете клиенты удаленного рабочего стола на других платформах, которые его не поддерживают.

• NLA должен быть включен по умолчанию в Windows 10, Windows Server 2012 R2 / 2016/2019.
• Чтобы проверить это, вы можете посмотреть параметр групповой политики Требовать проверку подлинности пользователя для удаленных подключений с помощью проверки подлинности на уровне сети, находящейся в папке Компьютер Политики Компоненты Windows Службы удаленного рабочего стола Узел сеанса удаленного рабочего стола Безопасность. Этот параметр групповой политики должен быть включен на сервере с ролью узла сеансов удаленного рабочего стола.

Ограничьте количество пользователей, которые могут войти в систему с помощью удаленного рабочего стола

По умолчанию все администраторы могут войти в удаленный рабочий стол.

Если есть несколько учетных записей администратора на компьютере, следует ограничить удаленный доступ только для тех учетных записей, которые в нем нуждаются.

Если удаленный рабочий стол не используется для системного администрирования, удалите весь административный доступ через RDP и разрешите только учетные записи пользователей, требующие службы RDP. Для отделов, которые управляют множеством машин удаленно, удалите локальную учетную запись администратора из доступа RDP по адресу и вместо этого добавьте техническую группу.

1. Нажмите Пуск -> Программы -> Администрирование -> Локальная политика безопасности.
2. В разделе «Локальные политики» -> «Назначение прав пользователя» перейдите к «Разрешить вход через службы терминалов». Или «Разрешить вход через службы удаленных рабочих столов»
3. Удалите группу администраторов и выйдите из группы пользователей удаленного рабочего стола.
4. Используйте панель управления системой, чтобы добавить пользователей в группу «Пользователи удаленного рабочего стола».

Типичная операционная система MS будет иметь следующие настройки по умолчанию, как показано в локальной политике безопасности:

Рисунок 1 — Настройка локальной политике безопасности

Проблема в том, что «Администраторы» здесь по умолчанию, а учетная запись «Локальный администратор» находится у администраторов.

Несмотря на то, что рекомендуется использовать соглашение о паролях, чтобы избежать идентичных паролей локального администратора на локальном компьютере и строго контролировать доступ к этим паролям или соглашениям, использование учетной записи локального администратора для удаленной работы на компьютере не позволяет должным образом регистрировать и идентифицировать пользователя, использующего систему. Лучше всего переопределить локальную политику безопасности с помощью параметра групповой политики.

Рисунок 2 — Настройка групповой политики безопасности

Установите политику блокировки учетной записи

Установив на своем компьютере блокировку учетной записи на определенное количество ошибочных попыток, вы предотвратите получение доступа к вашей системе с помощью средств автоматического подбора пароля. Чтобы установить политику блокировки учетной записи:

1. Зайдите в Пуск -> Программы -> Администрирование -> Локальная политика безопасности.
2. В разделе «Политики учетных записей» -> «Политики блокировки учетных записей» установите значения для всех трех параметров. Разумным выбором являются три недопустимые попытки с длительностью блокировки 3 минуты.

Лучшие методы для дополнительной безопасности RDP

Не разрешайте прямой доступ RDP клиентам серверам за пределами своей сетии

Открытие RDP (порт 3389) для сетей за пределами частной сети крайне не рекомендуется и является известным вектором для многих атак. Варианты ниже перечислены способы повышения безопасности, сохраняя при этом доступ к системе по протоколу RDP.

После настройки шлюза RDP узлы должны быть настроены так, чтобы разрешать RDP-соединения только от узла шлюза или подсетей компании там, где это необходимо.

Используйте шлюзы RDP

Настоятельно рекомендуется использовать шлюз RDP. Он позволяет жестко ограничить доступ к портам удаленного рабочего стола, одновременно поддерживая удаленные подключения через один сервер-шлюз.

При использовании сервера шлюза удаленных рабочих столов все службы удаленных рабочих столов на вашем рабочем столе и рабочих станциях должны быть ограничены, чтобы разрешить доступ только из шлюза удаленных рабочих столов. Сервер шлюза удаленных рабочих столов прослушивает запросы удаленного рабочего стола через HTTPS (порт 443) и подключает клиента к службе удаленного рабочего стола на целевой машине.

1. Используйте службу шлюза RDP в компании. Это лучший вариант для разрешения доступа RDP к системе, относящейся к категории UC P2 и ниже. Включает интеграцию DUO. Служба шлюза RDP предоставляется командой Windows.
2. Служба выделенного шлюза. Требуется для RDP-доступа к системам UC P4 или выше. Также должен быть настроен для DUO.

Некоторые компании используют VPS, управляемый IST, в качестве шлюза удаленных рабочих столов. По приблизительной оценке, 30–100 одновременно работающих пользователей могут использовать один шлюз удаленных рабочих столов. Hа на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако можно реализовать чуть более сложную реализацию шлюза удаленных рабочих столов с балансировкой сетевой нагрузки.

По сути, все, что необходимо — это простое изменение на расширенной вкладке RDP-клиента:

Рисунок 3 — Подключение через шлюз удаленных рабочих столов

Измените порт для удаленного рабочего стола

Изменение порта прослушивания поможет «спрятать» удаленный рабочий стол от злоумышленников, которые сканируют сеть в поисках компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto.

Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь это сделать, если вы не знакомы с реестром Windows и TCP / IP): HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Terminal Server WinStations RDP-Tcp.

Измените порт прослушивания с 3389 на другой и не забудьте обновить все правила брандмауэра с новым портом. Хотя этот подход полезен, это безопасность посредством неизвестности, что не является самым надежным подходом к обеспечению безопасности.

Убедитесь, что вы также используете другие методы для ограничения доступа, как описано в этой статье.

Туннелируйте подключение к удаленному рабочему столу через IPSec или SSH

Если использование шлюза удаленных рабочих столов невозможно, вы можете добавить дополнительный уровень проверки подлинности и шифрования, туннелируя сеансы удаленного рабочего стола через IPSec или SSH. IPSec встроен во все операционные системы Windows, начиная с Windows 2000, но использование и управление в Windows 10 значительно улучшены . Если доступен SSH-сервер, вы можете использовать SSH-туннелирование для подключений к удаленному рабочему столу.

Источник

Как ограничить пользователя одним подключением по rdp

Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами разобрали, как удалить net framework, без оставления хвостов. Сегодня я хочу вас научить запрещению входа по RDP на удаленный сервер для любой учетной записи, при этом права администратора у ней могут остаться. Данная заметка будет полезна для увеличения безопасности в Active Directory, я так же покажу ряд сценариев, где вы сможете это применить. Думаю каждый найдет ля себя частичку полезного из данной публикации.

Для чего нужно запрещать вход на удаленный рабочий стол

Ранее мы с вами изучали, как подключаться к удаленному рабочему столу и познакомились с рядом клиентов RDP. Теперь у нас обратная задача, сделать все наоборот. Приведу несколько ситуацию в которых будет полезно запретить интерактивный и RDP вход:

• Первое, что приходит на ум, это технические и сервисные учетные записи, которые очень часто используют, для запуска скриптов, заданий в планировщике, запуск служб или отправка сообщений. Всем им нет необходимости логиниться по RDP и они не используются для обычной работы пользователя, поэтому с точки зрения безопасности вы как системный администратор должны это исправить и ограничить им такую возможность, убрать один из вариантов нецелевого использования учетной записи.
• Второй вариант, который я могу привести, это ситуация при миграции с RDS фермы 2012 R2 на 2016, где я запрещаю пользователям, кто уже должен работать на новом терминале, входить на старый, так как у людей осталась привычка, по которой они первое время будут пытаться работать, как раньше.

Как запретить RDP подключение через групповую политику

Первый метод будет рассчитан на инфраструктуру построенную на Active Directory, где централизация является важным фактором управления. Тут мы с вами создадим отдельную групповую политику рассчитанную на группу RDSH хостов. Открываем редактор «Управление групповой политикой» и создаем новый объект GPO на нужном организационном подразделении.

Переходим в раздел:

Там есть политика «Запретить вход в систему через службы удаленных рабочих столов (Deny log on through Remote Desktop Services)». Именно данная политика позволяет внести в нее пользователей или группы, у которых нужно отнять возможность входа по RDP.

Откроем оснастку ADUC и создадим новую группу безопасности «RDP-Deny»

Я включу в нее тестовую учетную запись Барбоскина Геннадия Викторовича, обратите внимание, что он является администратором домена и по умолчанию имеет доступ на все компьютеры в домене.

Активируем галку «Определить следующие параметры политики», после чего у вас станет доступна кнопка «Добавить пользователей или группу«. Через кнопку обзор производим поиск нашей группы «RDP-Deny».

В результате у вас будет вот так, далее вам необходимо произвести обновление групповой политики или подождать когда она в течении 120 минут сама обновиться.

Теперь даже обладая административными правами на сервер с Windows Server 2019, вы получите вот такое уведомление:

Если у вас нет домена и сервер или компьютер находятся в рабочей группе, то вы можете воспользоваться оснасткой gpedit.msc и отредактировать локальные политики, напоминаю открывать ее нужно через окно «Выполнить».

Переходим в раздел:

Там есть политика «Запретить вход в систему через службы удаленных рабочих столов (Deny log on through Remote Desktop Services)».

Как запретить локальный вход

Вы так же можете при желании запретить и интерактивный вход на сервер или компьютер. Делается, это чаще всего из-за безопасности, когда сервер физически располагается там, где у вас нет 100% гарантии его защиты, и вы хотели бы отключить возможность входа локально, а оставить только удаленное подключение. Тут вы делаете все тоже самое, что я описывал выше, единственное, что вам в самом конце нужно будет выбрать политику

теперь, когда кто-то у кого нет прав попытается войти локально на ограниченный сервер или компьютер, то он получит сообщение:

Источник