Permitir apenas RemoteApp, não Área de Trabalho Remota

11

Encontrei a seguinte pergunta, com uma premissa semelhante, porém a resposta à pergunta, foi a pergunta reformulada como uma declaração!

O RemoteApp impede que o usuário execute a área de trabalho remota

Como permito o RemoteApp, mas desaprovo a área de trabalho remota? Para permitir o aplicativo remoto, aparentemente tenho que adicionar os usuários ao grupo "Usuários da área de trabalho remota". Isso permite a área de trabalho remota.

Tentei usar o grupo "TS Web Access Computers", no entanto, isso não lhes dá autoridade para executar o RemoteApp.

Onde está a configuração para desativar a Área de Trabalho Remota, mantendo intactos os recursos do RemoteApp?

Brett Allen
fonte
O RemoteApp ainda é TS / RDS; você ainda precisa proteger o servidor da mesma forma.
Chris S
Concordamos, embora a premissa de nosso serviço, é que eles só podem usar o Aplicativo. Eles não recebem um login completo na área de trabalho para reduzir a sobrecarga no sistema. Se eles resolverem o problema como Evan menciona, podemos lidar com esse caso a caso. Este é um problema de recursos, não um problema de segurança.
Brett Allen

Respostas:

12

Não há uma maneira "oficialmente sancionada" de fazer isso, porque, fundamentalmente, a funcionalidade TS RemoteApp está apenas aproveitando o código existente da Área de Trabalho Remota. Você pode fazer algo tolo como usar a Diretiva de Grupo para definir o shell do usuário como "logoff.exe", de modo que, se tentassem acessar a área de trabalho da máquina, eles seriam imediatamente desconectados. Qualquer aplicativo que use uma caixa de diálogo "Arquivo / Abrir" comum, no entanto, pode ser usado para obter um prompt de comando ou outros programas abertos na área de trabalho do servidor.

É melhor garantir que você siga o princípio do menor privilégio e conceda aos usuários do TS RemoteApp os poucos direitos necessários para executar o software pretendido. Se eles acabarem na área de trabalho do computador servidor, seus direitos restritos deverão impedi-los de fazer algo prejudicial ao computador servidor.

Evan Anderson
fonte
É bom saber que o software é nosso e estamos oferecendo aos clientes uma maneira de executá-lo sem ter seu próprio servidor. No entanto, estamos tentando restringi-los a simplesmente usar o aplicativo. Vai tentar essa idéia e ver como vai.
Brett Allen
Onde está localizada a política para isso? Posso fazer isso na Diretiva de Segurança Local para o servidor que hospeda esses aplicativos? Se eu precisar fazer isso no nível do domínio, preciso trazer o proprietário da empresa e orientá-lo.
Brett Allen
2
@Aequitarum Custódio, eu acredito que ele estava falandoUser Configuration/Policies/Administrative Templates/System/Custom User Interface
Zoredache
1
Não se esqueça de definir políticas de restrição de software que lhes permitam executar apenas o que você espera que eles executem. (+1 para definir o shell para Logoff.exe: Eu fiz o mesmo e recomendo)
Skyhawk
@Aequitarum Não, você não precisa fazer isso no nível do domínio. Se você deseja editar diretivas de grupo localmente para apenas uma máquina, basta executar gpedit.msc.
Skyhawk
2

É melhor usar "Política de controle de aplicativos" nas configurações de segurança apenas para permitir apenas aplicativos ou scripts necessários se você usar o Windows 7 ou o Windows 2008 R2

Dmitry Bespalov
fonte
1

Foi o que fiz para bloquear a área de trabalho para ficar acessível apenas para administradores de servidor e um grupo de AD nomeado. Os usuários que não são membros do grupo AD especificado receberão uma mensagem informando que devem usar o RDWeb e não o mstsc da área de trabalho / padrão.

  1. Crie um vbscript e coloque-o em uma pasta no servidor que todos os usuários possam ler + executar
  2. Adicione a seguinte linha ao %windir%\system32\USRLOGON.CMD

    cscript <sourcefolder>\DesktopUserCheck.vbs
    

O código vbscript (adicione suas informações pessoais nas entradas <> abaixo)

'Script created by Tord Bergset, Jan 2014
'This script is called from the file called C:\Windows\System32\USRLOGON.CMD
'The script check if a user logging on to the server desktop is a allowed to do this.
'The string called StrGroupName controls the access group to check for. 
'AD group used for this script = "G WTS Grant Desktop Access"
'---------------------------------------------------------------------------------------

Const strComputer = "."
Const EWX_LOGOFF = 0 

Dim objShell, objWMIService, colProcessList, objNetwork, StrGroupName, strUsername, strUserIsMember, strUserFullName

Set objShell = WScript.CreateObject ("WScript.Shell")
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcessList = objWMIService.ExecQuery("SELECT * FROM Win32_Process WHERE Name = 'userinit.exe'")
Set objNetwork = CreateObject("Wscript.Network")
strUsername = EnvString("username")

' Mention any AD Group Name Here. Also works for Domain Admins, Enterprise Admins etc.
' -------------------------------------------------------------------------------------
StrGroupName = "G WTS Grant Desktop Access"
' -------------------------------------------------------------------------------------

If IsAdmin = 0 Then wscript.Quit

CheckADGroupMembership()

If strUserIsMember = "YES" Then
    ' Do something here if user is a member of the group
    'MsgBox "Is member"
    Wscript.Quit
Else
    ' Do something here if user is NOT a member of the group
    'MsgBox "Is not member" 
    For Each objProcess in colProcessList
        MsgBox "You (" & strUsername & " ) are not allowed to log in to the server desktop." & VBLF & "Please connect through the Remote Desktop Web Page (RDWeb):" & VBLF & VBLF & "<rdweb server address>", vbExclamation + vbSystemModal, strUsername & " - Access Denied !"
        objShell.run "logoff"
        WScript.Quit
    Next    
End If

Wscript.Quit 


' *****************************************************
'This function checks to see if the logged on user has local admin rights
Function IsAdmin()
    With CreateObject("Wscript.Shell")
        IsAdmin = .Run("%comspec% /c OPENFILES > nul", 0, True)
    End With
End Function

' *****************************************************
'This function checks to see if the passed group name contains the current user as a member. Returns True or False
Function IsMember(groupName)
    If IsEmpty(groupListD) then
        Set groupListD = CreateObject("Scripting.Dictionary")
        groupListD.CompareMode = TextCompare
        ADSPath = EnvString("userdomain") & "/" & EnvString("username")
        Set userPath = GetObject("WinNT://" & ADSPath & ",user")
        For Each listGroup in userPath.Groups
            groupListD.Add listGroup.Name, "-"
        Next
    End if
    IsMember = CBool(groupListD.Exists(groupName))
End Function

' *****************************************************
'This function returns a particular environment variable's value.
' for example, if you use EnvString("username"), it would return the value of %username%.
Function EnvString(variable)
    variable = "%" & variable & "%"
    EnvString = objShell.ExpandEnvironmentStrings(variable)
End Function


' *****************************************************
Sub CheckADGroupMembership()
    ' =============================================================
    ' List All Members of a Group; Including Nested Members
    ' =============================================================
    Dim ObjRootDSE, ObjConn, ObjRS, ObjCustom
    Dim StrDomainName, StrGroupName, StrSQL
    Dim StrGroupDN, StrEmptySpace

    strUserIsMember = ""

    Set ObjRootDSE = GetObject("LDAP://RootDSE")
    StrDomainName = Trim(ObjRootDSE.Get("DefaultNamingContext"))
    Set ObjRootDSE = Nothing

    StrSQL = "Select ADsPath From 'LDAP://" & StrDomainName & "' Where ObjectCategory = 'Group' AND Name = '" & StrGroupName & "'"

    Set ObjConn = CreateObject("ADODB.Connection")
    ObjConn.Provider = "ADsDSOObject":  ObjConn.Open "Active Directory Provider"
    Set ObjRS = CreateObject("ADODB.Recordset")
    ObjRS.Open StrSQL, ObjConn
    If ObjRS.EOF Then
        'WScript.Echo VbCrLf & "This Group: " & StrGroupName & " does not exist in Active Directory"
    End If
    If Not ObjRS.EOF Then   
        WScript.Echo vbNullString
        ObjRS.MoveLast: ObjRS.MoveFirst
        'WScript.Echo "Total No of Groups Found: " & ObjRS.RecordCount
        'WScript.Echo "List of Members In " & StrGroupName & " are: " & VbCrLf
        While Not ObjRS.EOF     
            StrGroupDN = Trim(ObjRS.Fields("ADsPath").Value)
            Set ObjCustom = CreateObject("Scripting.Dictionary")
            StrEmptySpace = " "
            GetAllNestedMembers StrGroupDN, StrEmptySpace, ObjCustom
            Set ObjCustom = Nothing
            ObjRS.MoveNext
        Wend
    End If
    ObjRS.Close:    Set ObjRS = Nothing
    ObjConn.Close:  Set ObjConn = Nothing
End Sub

Private Function GetAllNestedMembers (StrGroupADsPath, StrEmptySpace, ObjCustom)
    Dim ObjGroup, ObjMember
    Set ObjGroup = GetObject(StrGroupADsPath)
    For Each ObjMember In ObjGroup.Members      
        'WScript.Echo Trim(ObjMember.CN) & " --- " & Trim(ObjMember.DisplayName) & " (" & Trim(ObjMember.Class) & ")" & " (" & Trim(ObjMember.sAMAccountName) & ")"
        strThisUser = Trim(ObjMember.sAMAccountName)

        If lCase(strUsername) = lCase(strThisUser) Then 
            strUserIsMember = "YES"
            strUserFullName = Trim(ObjMember.DisplayName)
            Exit Function
        End If

        If Strcomp(Trim(ObjMember.Class), "Group", vbTextCompare) = 0 Then
            If ObjCustom.Exists(ObjMember.ADsPath) Then 
                'WScript.Echo StrEmptySpace & " -- Already Checked Group-Member " & "(Stopping Here To Escape Loop)"
            Else
                ObjCustom.Add ObjMember.ADsPath, 1  
                GetFromHere ObjMember.ADsPath, StrEmptySpace & " ", ObjCustom
            End If
        End If
    Next
End Function

Private Sub GetFromHere(StrGroupADsPath, StrEmptySpace, ObjCustom)
    Dim ObjThisGroup, ObjThisMember
    Set ObjThisGroup = GetObject(StrGroupADsPath)
    'WScript.Echo vbNullString
    'WScript.Echo "  ** Members of this Group are:"
    For Each ObjThisMember In ObjThisGroup.Members      
        'WScript.Echo "    >> " & Trim(ObjThisMember.CN) & " --- " & Trim(ObjThisMember.DisplayName) & " (" & Trim(ObjThisMember.Class) & ")" & " (" & Trim(ObjThisMember.sAMAccountName) & ")"
        strThisUser = Trim(ObjThisMember.sAMAccountName)

        If lCase(strUsername) = lCase(strThisUser) Then 
            strUserIsMember = "YES"
            strUserFullName = Trim(ObjThisMember.DisplayName)
            Exit Sub
        End If

    Next
    'WScript.Echo vbNullString
End Sub
Tord Bergset
fonte
0

Você pode aproveitar o fato de que sessões completas do usuário iniciam o userinit.exeprocesso, enquanto as sessões do RemoteApp iniciam o rdpshell.exeprocesso. O AppLocker pode ser usado para impedir a userinit.exeexecução por usuários padrão.

Michael Steele
fonte