Wstęp
Artykuł ten ma za zadanie wskazać najczęściej popełniane błędy przy konfiguracji Pulpitu zdalnego dla Windows 2003 Server.
Opisywana tu konfiguracja nie będzie miała praktycznego zastosowania dla Windows XP (niezależnie od wersji).
Co to jest pulpit zdalny?
Pulpit Zdalny jest to narzędzie w systemach Windows, które służy do zdalnej pracy. Dzięki niemu możemy pracować na komputerach firmowych z domu, co może zaoszczędzić nam dużo czasu spędzonego w pracy.
Uruchamianie Pulpitu zdalnego
Aby uruchomić Pulpit zdalny wchodzimy w Panel Sterowania, następnie System i przechodzimy do zakładki Zdalny, gdzie zaznaczamy "Włącz Pulpit zdalny(...)(rys 1.).
Konfiguracja Uprawnień
Aby nasz pulpit zdalny był bezpieczny dla maszyny, pamiętajmy że musi być on skonfigurowany w taki sposób, aby osoba, która będzie z niego korzystać jako gość nie mogła nic zepsuć i mieć dostęp tylko tam gdzie My chcemy aby miała.
Z doświadczenie wiem, ze do zdalnego pulpitu logują się osoby, które nie zawsze wiedzą jakie mają potężne narzędzie.
Jednak są osoby, które mogą wykorzystać nasz pulpit w niecnych czynach. Przeważnie chodzi o kradzież danych czy dostęp do informacji poufnych. Aby temu zapobiec musimy nadać takie uprawnienia aby każdy użytkownik miał dostęp tylko tam gdzie powinien.
Tworzenie grup i użytkowników
Aby zabezpieczenie było naprawdę skuteczne, dla każdego użytkownika musimy stworzyć osobną grupę.
Aby to zrobić wchodzimy w Panel sterowania, następnie Narzędzie Administracyjne.
Active Directory
Otwieramy "Użytkownicy i komputery usługi Active Directory".
Aby dodać grupę klikamy , ikonę tą możemy znaleźć na górnym pasku .
Dla użytkownika Test, tworzymy grupę Test. Będzie łatwiej to później ogarnąć wzrokiem.
Po utworzeniu grupy, musimy stworzyć użytkownika. Dlatego klikamy na górnej belce, zaraz obok przycisku tworzenie grupy w i dodajemy użytkownika. Nazwiemy go Test. Możemy oczywiście dodać takie informacje jak Imię czy nazwisko. W związku z tym iż nazwa logowania użytkownika dla systemu windows 2000 nie może być taka sama jak grupa i nie może juz być zarejestrowana w systemie musimy ustawić ją ręcznie i nadać jej inna nazwę. W moim przypadku jest to Test2.
Następnie klikamy dalej i wprowadzamy hasło. Oczywiście zaznaczamy opcje "Hasło nigdy nie wygasa" i "Użytkownik nie może zmienić hasła", a odznaczamy Użytkownik musi zmienić hasło(..).
Jeżeli już został utworzony użytkownik i grupa, wchodzimy we właściwości grupy i w zakładkę "Członkowie", gdzie dodajemy wcześniej stworzonego użytkownika.
Windows bez obsługi domen
Obecnie wersja ta jest w fazie pisania.
Nadawanie uprawnień dostępu.
Pokaże tylko przykładowe uprawnienia, jako że każdy skonfiguruje je do własnych potrzeb.
W tym przykładzie dostęp do dysku C: dla użytkownika Test zostanie zabroniony. Co oznacza że nie będzie mógł czytać zapisywać czy nawet uruchamiać żadnych plików na tym dysku.
Zatem wchodzimy w Mój Komputer, klikamy Właściwości dysku C: i dalej wchodzimy w zakładkę "Zabezpieczenia", gdzie dodajemy użytkownika, którego wcześniej stworzyliśmy. W moim przypadku użytkownik ten nazywa się "Testowy".
Jak widzimy po dodaniu użytkownika ma on uprawnienia do odczytu, wyświetlania zawartości jak i do zapisu i wykonania.
Zaznaczamy "Odmów" w kwadraciku "Pełna kontrola" i klikamy OK.
Teraz mamy pewność że ten użytkownik nie będzie miał dostępu do tego dysku. Oczywiście możemy tak zrobić z każdą aplikacją, folderem etc. Wszystko zależy od tego co chcemy ukryć i przed kim.
Dodawanie użytkowników pulpitu zdalnego
Jeżeli wszystko już jest gotowe, nadane zostały już uprawnienia i mamy pewność że użytkownik nie dostanie się w niepowołane miejsce systemu, możemy dać użytkownikowi prawa do logowanie się do pulpitu zdalnego. W tym celu wchodzimy w Panel Sterowania następnie System i w zakładkę "Zdalne". Na dole zakładki znajdziemy przycisk , w który wchodzimy.
Teraz musimy dodać użytkownika wcześniej stworzonego. W moim przypadku będzie to użytkownik "Testowy".
Pamiętajmy również o odblokowaniu odpowiedniego porty w firewallu.
Zakończenie
I w ten prosty sposób dobiegliśmy do końca. Mam nadzieję że w najbliższej przyszłości starczy mi czasu aby opisać inne możliwości zabezpieczenia Pulpitu zdalnego. Jeżeli znajdziesz błąd w tym artykule powiadom mnie o tym.
Nie odpowiadam na maile z zapytaniami "jak to zrobić?" i pochodnymi. Wszystko zostało bardzo szczegółowo opisane.
Mam nadzieje że ten artykuł pomoże w zabezpieczeniu, a jeżeli nie to przynajmniej naprowadzi administratorów na właściwą drogę.
Źródło: HackingPlanet.org. Treść udostępniona na zasadach licencji Creative Commons Attribution
Autor: Dominium
Licencja: Creative Commons