При настройке пользовательской среды для серверов RDS с ролью Remote Desktop Session Host могут использоваться дополнительные меры усиления безопасности, которые могут быть реализованы путём внедрения разного рода ограничений, диктуемых специальными групповыми политиками действующими только на серверах фермы RDS. И ранее мы рассматривали пример политики "User Group Policy loopback processing mode", которая включает форсированное применение параметров пользовательской среды на серверах RDS. Практика показала, что такие настройки могут вызывать проблемы у тех доменных пользователей, для которых в свойствах учётной записи в домене назначено сетевое расположение профиля.
-
Digi AnywhereUSB Manager и бесконечное ожидание Координатора установщика Windows
При установке программного пакета AnywhereUSB Manager на серверную систему Windows Server 2012 R2 с ролью узла сеансов удалённых рабочих столов (Remote Desktop Session Host) можно столкнуться с тем, что программа установки зависает в бесконечном ожидании Координатора установщика Windows (Windows Installer Coordinator).
-
Августовские обновления Windows требуют тщательного предварительно тестирования перед развёртыванием
Появившиеся в службе Windows Update и WSUS в начале этой недели Августовские кумулятивные обновления Windows нацелены на повышение уровня безопасности ОС и, в частности, исправляют проблему безопасности при работе с протоколом RDP, которую уже успели окрестить "BlueKeep-2". Однако, следует внимательно подходить к вопросу предварительного тестирования данных обновлений, чтобы не создать себе дополнительных проблем. Читать далее...
-
Отключение и завершение простаивающих сеансов на серверах Remote Desktop Session Host в зависимости от дня месяца и членства в доменной группе. Вариант 2: Избавляемся от некорректных значений IdleTime в Get-RDUserSession
Ранее мы рассматривали пример скриптовой реализации контроля простаивающих пользовательских сеансов на серверах Remote Desktop Session Host (RDSH). В комментариях к этой заметке один из наших постоянных читателей - Солодовников Матвей (aka equinox) отметил то обстоятельство, что при использовании представленного скрипта возникают проблемы с правильностью определения времени простоя сеансов. И связано это с тем, что командлет Get-RDUserSession может возвращать некорректное значение времени простоя IdleTime для активных сессий со статусом STATE_ACTIVE. Наша практика использования скрипта подтвердила наличие этой проблемы, поэтому в данной заметке мы рассмотрим альтернативный вариант скрипта, решающий данный вопрос.
-
Отключение и завершение простаивающих сеансов на серверах Remote Desktop Session Host в зависимости от дня месяца и членства в доменной группе
Как правило, для отключения неактивных и завершения отключенных сессий на серверах сеансов служб удалённых рабочих столов Remote Desktop Session Host в Windows Server 2012 R2 администраторы используют возможности групповых политик домена Active Directory. Однако иногда может возникать потребность в управлении неактивными сеансами по хитрым правилам, которые невозможно уложить в рамки стандартных механизмов GPO или даже GPP. В таких случаях для управления сеансами можно прибегнуть к возможностям PowerShell.
-
RD Gateway Manager и проблема отображения сообщения при входе (Logon message)
В процессе настройки шлюза удалённых рабочих столов Remote Desktop Gateway в оснастке RD Gateway Manager на базе Windows Server 2012 R2 можно указать файл, содержимое которого будет отображаться каждому пользователю в процессе подключения. Это сообщение (Logon message) отображается в случае успешной аутентификации пользователя перед непосредственным подключением к конечному серверу сеансов. Несмотря на всю простоту настройки этого механизма, мы можем столкнуться с ситуацией, когда сообщение при входе отображается у пользователей в нечитаемом виде.
-
Ошибка проверки подлинности при подключении к удалённому рабочему столу Windows RDS …"Причиной ошибки может быть исправление шифрования CredSSP"
Информация об уязвимости в провайдере безопасности CredSSP ОС Windows была опубликована 13.03.2018 в документе CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability. В этом документе можно найти ссылки на обновления безопасности, которые были выпущены для закрытия этой уязвимости. Выпущенные обновления относятся к механизмам CredSSP, как в клиентских, так и в серверных ОС Windows. При этом неправильная последовательность развёртывания обновлений, касающихся CredSSP, может привести к неожиданным последствиям.
-
Опрос сети на предмет поиска уязвимых версий службы управления ключами SafeNet Sentinel License Manager (HASP License Manager)
Многим администраторам так или иначе приходилось в своей работе сталкиваться с аппаратными ключами защиты Alladin HASP/SafeNet Sentinel и приходилось устанавливать поставляемый в составе ПО поддержки этих ключей программный пакет HASP License Manager/Sentinel License Manager. Это приложение отвечает за контроль лицензий всевозможного ПО, используемого во множестве самых разных приложений, начиная с бизнес-систем типа 1С и заканчивая разнообразными критичными для производственных процессов системами АСУ ТП.
Как правило, единожды установив это ПО, администратор не задумывается о необходимости его периодического обновления, так как не для всех очевидно то, что такое ПО может стать источником серьёзных проблем информационной безопасности, делая систему, на которой оно установлено, критически уязвимой и открывая новые векторы для возможных атак.