Как оперативно обеспечить безопасный удаленный доступ к корпоративным ресурсам когда карантин?


Это история весны 2020 года, когда нас всех дружно отправили на карантин, но, например, исполнение гос. контрактов никто не отменял.

Один из наших клиентов, который имеет особые запросы к безопасности всегда был против доступа к своим данным извне, решился на удаленный доступ, потому что нужно было работать.

В статье я опишу только подход, все ссылки, которые могут быть полезны для реализации подхода я приложу в конце статьи.


Задача, которая нам была поставлена:

1. Оперативно обеспечить доступ операционных сотрудников из дома с личных компьютеров к корпоративным системам;

2. Вся работа с данными должна вестись только на стороне офисного железа и софта;

3. Данные нельзя копировать и переносить на домашние компьютеры.

Дополнительные вводные:

2 сервера: 1-й: AD, 2-й: 1С, принтсервер и файловый сервер

Ограничения:

1. Свободных серверных ресурсов нет;

2. Купить железо невозможно;

3. Выезды в офис должны быть минимальны, потому что ограничения;

4. Местный провайдер отказался оперативно предоставить внешний IP;

5. Текущий канал Интернет 10 Мбит/с.

Ввиду обозначенных ограничений вариантов было немного: однозначно требовалось применение VPN, который находится вне офиса. А дальше были варианты:

1. Дать доступ каждому сотруднику к своему компьютеру и держать десяток компьютеров, включенных в офисе, в котором никого нет – Заказчик по этому поводу очень переживал;

2. Организовать что-то похожее на RDP, но где взять железо?

После небольшого мозгового штурма выбран был второй вариант:

1. Мы нашли подходящее железо в офисе – это был компьютер архитектора-проектировщика, с достаточной производительностью - Dell Precision T3610 с Intel Xeon E5-1650v2 и 32 GB ОЗУ;

2. Плюс мы определили основной круг людей, кому нужен оперативный доступ к корпоративным данным и системам – это было 5 человек, остальным доступ нужен был время от времени;

3. Строим систему на Windows Server, потому что она позволяет 180 дней работать без активации и пользоваться сервисом RDP 120 дней, т.е. мы ничего не нарушаем и получаем необходимый функционал.

Мы приступили к работе :

1. Из компьютера Dell мы бережно извлекли диски и убрали их в надежное хранилище;

2. Установили 2 новых SSD диска WD Black на 512 и собрали Raid1, благо они были в ЗИПе;

3. Установили актуальную - Windows Server 2019 ознакомительная версия;

4. Активировали сервис RDP и RDS;

5. Добавили необходимый софт на сервер (MS Office, Adobe Reader, 7zip и клиент 1С);

6. Добавили сервер в домен;

7. Немного поправили групповые политики, в части работы через RDP – отключили возможность копирования с/на RDP и возможность подключения дисков, принтеров и т.д. Больших изменений не потребовалось, т.к. в компании были довольно жестко настроены групповые политики в части безопасности и пользовательские учетки остались те же, что и на рабочих местах;

8. Перенесли данные с рабочих столов на рабочие столы RDP;

9. Для Заказчика был создан отдельный хаб на нашем VPN сервере на базе SoftEther VPN и туда был добавлен сервер через сеть Интернет;

10. Пользователей добавляли вручную по заявке. Авторизация в VPN по индивидуальному сертификату, далее к RDP, через корпоративный пароль AD;

VPN на локальных машинах настраивался как дополнительная сеть без доступа в сеть Интернет, т.е. DHCP не выдавал адрес шлюза. Пользователи пользовались домашним Интернетом, а через VPN работал только удаленный рабочий стол.

Решение было реализовано за несколько дней и помогло пережить большой локдаун без остановки работы офиса, в котором ранее не было удаленного доступа.


Ссылки:

Windows Server 2019 – установка бесплатной пробной версии: https://info-comp.ru/sisadminst/725-install-windows-server-2019.html

Установка и активация сервера лицензирования RDS на Windows Server 2019/2016 на 120 дней: https://winitpro.ru/index.php/2017/11/21/ustanovka-i-aktivaciya-rds-license-na-windows-server-2016/

Настройка групповых политик: https://wiki.rtzra.ru/software/microsoft/2012-terminal-server-rdp-rights#

Рекомендации по безопасности RDP: https://efsol.ru/manuals/rdp-def.html

Настройка сервера VPN на Windows: https://dmitrybobrovsky.ru/2017/02/02/softether-vpn-server-server-na-windows-ustanovka-i-nastrojka/

Настройка сервера VPN на Linux: https://techlist.top/softether-vpn-server-install/

2 просмотра0 комментариев

Недавние посты

Смотреть все