Это история весны 2020 года, когда нас всех дружно отправили на карантин, но, например, исполнение гос. контрактов никто не отменял.
Один из наших клиентов, который имеет особые запросы к безопасности всегда был против доступа к своим данным извне, решился на удаленный доступ, потому что нужно было работать.
В статье я опишу только подход, все ссылки, которые могут быть полезны для реализации подхода я приложу в конце статьи.
Задача, которая нам была поставлена:
1. Оперативно обеспечить доступ операционных сотрудников из дома с личных компьютеров к корпоративным системам;
2. Вся работа с данными должна вестись только на стороне офисного железа и софта;
3. Данные нельзя копировать и переносить на домашние компьютеры.
Дополнительные вводные:
2 сервера: 1-й: AD, 2-й: 1С, принтсервер и файловый сервер
Ограничения:
1. Свободных серверных ресурсов нет;
2. Купить железо невозможно;
3. Выезды в офис должны быть минимальны, потому что ограничения;
4. Местный провайдер отказался оперативно предоставить внешний IP;
5. Текущий канал Интернет 10 Мбит/с.
Ввиду обозначенных ограничений вариантов было немного: однозначно требовалось применение VPN, который находится вне офиса. А дальше были варианты:
1. Дать доступ каждому сотруднику к своему компьютеру и держать десяток компьютеров, включенных в офисе, в котором никого нет – Заказчик по этому поводу очень переживал;
2. Организовать что-то похожее на RDP, но где взять железо?
После небольшого мозгового штурма выбран был второй вариант:
1. Мы нашли подходящее железо в офисе – это был компьютер архитектора-проектировщика, с достаточной производительностью - Dell Precision T3610 с Intel Xeon E5-1650v2 и 32 GB ОЗУ;
2. Плюс мы определили основной круг людей, кому нужен оперативный доступ к корпоративным данным и системам – это было 5 человек, остальным доступ нужен был время от времени;
3. Строим систему на Windows Server, потому что она позволяет 180 дней работать без активации и пользоваться сервисом RDP 120 дней, т.е. мы ничего не нарушаем и получаем необходимый функционал.
Мы приступили к работе :
1. Из компьютера Dell мы бережно извлекли диски и убрали их в надежное хранилище;
2. Установили 2 новых SSD диска WD Black на 512 и собрали Raid1, благо они были в ЗИПе;
3. Установили актуальную - Windows Server 2019 ознакомительная версия;
4. Активировали сервис RDP и RDS;
5. Добавили необходимый софт на сервер (MS Office, Adobe Reader, 7zip и клиент 1С);
6. Добавили сервер в домен;
7. Немного поправили групповые политики, в части работы через RDP – отключили возможность копирования с/на RDP и возможность подключения дисков, принтеров и т.д. Больших изменений не потребовалось, т.к. в компании были довольно жестко настроены групповые политики в части безопасности и пользовательские учетки остались те же, что и на рабочих местах;
8. Перенесли данные с рабочих столов на рабочие столы RDP;
9. Для Заказчика был создан отдельный хаб на нашем VPN сервере на базе SoftEther VPN и туда был добавлен сервер через сеть Интернет;
10. Пользователей добавляли вручную по заявке. Авторизация в VPN по индивидуальному сертификату, далее к RDP, через корпоративный пароль AD;
VPN на локальных машинах настраивался как дополнительная сеть без доступа в сеть Интернет, т.е. DHCP не выдавал адрес шлюза. Пользователи пользовались домашним Интернетом, а через VPN работал только удаленный рабочий стол.
Решение было реализовано за несколько дней и помогло пережить большой локдаун без остановки работы офиса, в котором ранее не было удаленного доступа.
Ссылки:
Windows Server 2019 – установка бесплатной пробной версии: https://info-comp.ru/sisadminst/725-install-windows-server-2019.html
Установка и активация сервера лицензирования RDS на Windows Server 2019/2016 на 120 дней: https://winitpro.ru/index.php/2017/11/21/ustanovka-i-aktivaciya-rds-license-na-windows-server-2016/
Настройка групповых политик: https://wiki.rtzra.ru/software/microsoft/2012-terminal-server-rdp-rights#
Рекомендации по безопасности RDP: https://efsol.ru/manuals/rdp-def.html
Настройка сервера VPN на Windows: https://dmitrybobrovsky.ru/2017/02/02/softether-vpn-server-server-na-windows-ustanovka-i-nastrojka/
Настройка сервера VPN на Linux: https://techlist.top/softether-vpn-server-install/