Этот метод входа запрещен для использования в Windows Server 2019

Обновлено: 21.11.2024

Если пользователи не могут локально войти в систему в Windows 10 из-за сообщения "Метод входа, который вы пытаетесь использовать, не разрешен", см. это исправление, чтобы решить эту проблему.

Все мы знаем, что у администратора есть все права, чтобы разрешить или заблокировать определенную учетную запись пользователя. Вообще говоря, на компьютере с Windows есть две основные группы: Администратор и Пользователь. В случае, если группе Пользователь не разрешен вход, даже один пользователь не сможет войти в систему. В этом случае, когда пользователь пытается войти в систему, он получает следующее сообщение:

Способ входа, который вы пытаетесь использовать, не разрешен. Для получения дополнительной информации обратитесь к сетевому администратору.

Или вы можете столкнуться с этой ошибкой:

Пользователю не предоставлен запрошенный тип входа на этом компьютере.

Если вы являетесь администратором компьютера и пользователи получают это сообщение об ошибке при попытке входа в систему, вы можете легко решить эту проблему, предоставив им соответствующие разрешения. Основная причина этой проблемы заключается в том, что пользователи, столкнувшиеся с этой проблемой, не входят в группу User. Или еще одной причиной может быть то, что у группы User нет разрешения на локальный вход ее участников. Эти простые шаги помогут вам решить эту проблему:

ИСПРАВЛЕНИЕ: метод входа, который вы пытаетесь использовать, не разрешен в Windows 10

<р>1. Нажмите + R и поместите secpol.msc в диалоговое окно «Выполнить». Нажмите OK, чтобы открыть оснастку Политика безопасности.

<р>2. Затем в показанном ниже окне нажмите «Параметры безопасности» > «Локальные политики» > «Назначение прав пользователя». Затем на соответствующей правой панели найдите Политику с именем Разрешить локальный вход. Дважды щелкните этот параметр, чтобы изменить его.

<р>3. Двигаясь дальше, на странице свойств настроек вы обнаружите, что либо проблема, с которой столкнулся пользователь, либо вся группа Пользователь не указана здесь. Это причина проблемы. Нажмите кнопку «Добавить пользователя или группу».

<р>4. Нажмите «Дополнительно» в следующем окне.

<р>5. Теперь в окне Выберите пользователей или группу, показанном ниже, нажмите «Найти сейчас». Затем найдите проблему, с которой столкнулся пользователь, в заполненном списке и выберите ее. Если этой проблемой страдают несколько пользователей, выберите в списке Пользователь (группа). Нажмите "ОК".

<р>6. Наконец, пользователь или его группа были добавлены, и теперь им разрешено входить в систему локально. Нажмите «Применить», а затем «ОК». Закройте окно Политика безопасности и выйдите из учетной записи администратора.

Теперь пользователи, столкнувшиеся с этой проблемой, не должны жаловаться на нее, так как она решена.

Об авторе

Это сообщение написано Капилом Арья, Microsoft MVP.

О Капил Арье

В настоящее время Капил является Microsoft MVP в области Windows IT Pro. Он также является MVP Windows Insider и автором книги «Устранение неполадок групповой политики Windows». В 2015 году Microsoft India удостоила его звания «чемпиона Windows 10». Будучи страстным блогером Windows, он любит помогать другим в устранении их системных проблем. Капил работал с официальной группой Microsoft Community Engagement Team (CET) над несколькими общественными проектами. Вы можете следить за новостями/обновлениями и исправлениями для Windows.

Что делать, если компьютер находится в домене, и вы не хотите, чтобы он входил в систему локально? У меня есть несколько ноутбуков с Windows 8, которые выдают учащимся это сообщение об ошибке.

Привет, я попытался с приведенной выше информацией добавить пользователя или группу, чтобы выбрать "Помогите мне".

Здравствуйте, я использую Windows 10. Я добавляю рабочую группу своего компьютера в домен. Я пытаюсь войти в систему. Ошибка пользователя (метод входа, который вы пытаетесь использовать, не разрешен. /p>

Я попробовал описанные выше шаги, но параметры "Добавить пользователей или группу" скрыты, чтобы добавить пользователей, помогите мне

Я единственный пользователь на машине. Я не знаю, как решить эту проблему, но уже думал о новой установке, поэтому я могу сделать это сейчас. Кроме того, мне все еще интересно, как исправить эту ситуацию в моем случае.

Способ входа, который вы пытаетесь использовать, не разрешен. для получения дополнительной информации обратитесь к сетевому администратору. Ноутбук представляет собой систему на базе Windows 8, он принадлежит кому-то другому, и я не могу пройти мимо этого момента. Пробовал нажимать windows +R и больше ничего не происходит. Есть ли способ обойти это?

Параметры добавления пользователей или групп скрыты, чтобы добавить пользователей, помогите мне

шаги параметров «Добавить пользователей или группу» скрыты, чтобы добавить пользователей, пожалуйста, помогите мне

Пожалуйста, помогите мне. На моем компьютере установлена ​​Windows 8.1, и даже я не могу выполнить шаг 1
Не могли бы вы помочь мне.Можете ли вы объяснить эту проблему в Windows 8.1

^^ Рекомендую вам повторить шаги и посмотреть, сработает ли это.

Моя проблема заключается в том, как получить доступ к диалоговому окну «Выполнить» в Windows 8.1

^^ Вам нужно нажать клавишу Windows + клавиши R для доступа к меню «Выполнить».

извините, я нажимаю эти клавиши, но не работает

наконец-то мне удалось получить доступ к этой части, но на шаге 6 я нажимаю "Применить" или "ОК", но это не работает

приближается это сообщение
некоторые учетные записи не могут переводить
извините за мой плохой английский

^^ Каково точное сообщение? Вы являетесь администратором на машине?

да, я администратор
после нажатия кнопки "Применить" или "ОК" происходит что угодно и отображается это сообщение:

«Некоторые учетные записи не могут быть переведены»

kapil
не могли бы вы мне помочь?
нет никакого способа?

^^ Джек, я никогда не видел этого сообщения. Вы уверены, что это точное сообщение? Является ли ваша система частью домена/организации?

да, насчет массажа я уверен

могу ли я опубликовать для вас изображение, на котором показано сообщение об ошибке?

^^ Да, вы можете загрузить снимок экрана в OneDrive и поделиться ссылкой здесь.

^^ Спасибо за скриншот. В настоящее время я не знаю об этой проблеме. Я проведу небольшое исследование и свяжусь с вами.

Хорошо, большое спасибо

когда я на моем DC 1 и пытаюсь войти в систему как пользователь, он говорит, что метод входа, который вы пытаетесь использовать, не разрешен, я предоставил доступ в NPS и изменил свойства пользователя, чтобы он имел доступ на DC 1, но по-прежнему говорит, что метод входа, который вы пытаетесь использовать, не разрешен

Оставить ответ Отменить ответ

Что нового

    5 часов назад
    2 дня назад
    2 дня назад
    4 дня назад
    4 дня назад

Последние комментарии

пропустить : Как вы можете попробовать эти шаги, если вы не можете войти в систему. 14 часов назад

skip : Да у меня такая же проблема только под Windows 10. Только уведомление. 14 часов назад

Мека: У меня были проблемы с моим внешним жестким диском mbr. Как-то после того, как я создал. 2 дня назад

Tibule: у меня нет контроллера ATAPI ITE/ATA в качестве элемента при запуске устройства. 3 дня назад

OBloody Hell : похоже, не работает на довольно недавней установке Lenovo. Просто нет. 4 дня назад

Ошибка «Метод входа, который вы пытаетесь использовать, не разрешен. Для получения дополнительной информации обратитесь к сетевому администратору», обычно появляется, когда вы пытаетесь войти с помощью учетной записи «Гость» в Windows 10. ПК или к контроллеру домена с любым другим пользователем, кроме администратора домена. Ошибка появляется, потому что по умолчанию вы не можете войти локально с любым пользователем, у которого нет прав администратора на контроллере домена или на ПК с Windows 10.

Это руководство содержит инструкции по обходу ошибки «Вы пытаетесь использовать недопустимый метод входа» в Windows 10 или Server 2016/2012.

Как исправить: метод входа не разрешен в Windows 10 и Server 2016/2012.

Чтобы устранить ошибку "Метод входа, который вы пытаетесь использовать, не разрешен", следуйте приведенным ниже инструкциям в зависимости от вашего случая. у вас есть следующие варианты:

Вариант 1. Разрешить пользователю локальный вход в Windows 10 или на автономный сервер.
Вариант 2. Разрешить пользователю домена локальный вход в систему на контроллере домена.
Случай 1. Как разрешить пользователю локальный вход в систему на автономном сервере.

Если вы хотите войти локально с любым другим пользователем, кроме администратора, на автономный сервер 2016/2012/2008 или на компьютер, который является частью домена, продолжите и измените групповую политику по умолчанию, чтобы разрешить обычным пользователям, следуя приведенным ниже инструкциям:

<р>1. Войдите на сервер (или компьютер домена) в качестве администратора.
2. Откройте редактор локальной групповой политики. Для этого:

<блочная цитата>

1. Одновременно нажмите клавиши Windows + R, чтобы открыть окно команды запуска.
2. Введите gpedit.msc и нажмите Enter.

<р>2. В редакторе групповой политики перейдите к: Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя

<р>3. На правой панели: дважды щелкните Разрешить локальный вход

<р>3. В окне свойств «Разрешить локальный вход в систему» ​​нажмите «Добавить пользователя или группу». *

* Примечание. По умолчанию на автономном сервере следующие группы имеют разрешение на локальный вход:

  • Администраторы
  • Операторы резервного копирования
  • Пользователи

Поэтому, если вы хотите предоставить разрешение только определенным пользователям на локальный вход, удалите отсюда группу "Пользователи".

<р>4. Введите имя пользователя, для которого вы хотите войти в систему локально, и дважды нажмите OK, чтобы закрыть все окна.

<р>5. Затем откройте политику Запретить локальный вход и убедитесь, что она пуста.

<р>6. Закройте редактор локальной групповой политики.
7. Перезапустите сервер или выполните команду gpupdate /force, чтобы применить новые параметры групповой политики (без перезапуска).

Случай 2. Как разрешить пользователю домена локальный вход в систему на контроллере домена (Server 2016).

Чтобы пользователь домена мог войти в систему локально с консоли контроллера домена, пользователь должен принадлежать к одной из следующих групп:

  • Операторы аккаунта
  • Администраторы
  • Операторы резервного копирования
  • Операторы печати
  • Операторы серверов

Поэтому, если вы хотите предоставить учетной записи пользователя возможность локального входа в контроллер домена, вы должны сделать этого пользователя членом одной из указанных выше групп. *

* Примечание. Во избежание угроз безопасности не добавляйте пользователя в группу администраторов. и предпочитаете добавить пользователя в «Операторы резервного копирования».

Вот оно! Дайте мне знать, помогло ли вам это руководство, оставив свой комментарий о своем опыте. Поставьте лайк и поделитесь этим руководством, чтобы помочь другим.

Если эта статья оказалась для вас полезной, поддержите нас, сделав пожертвование. Даже 1 доллар США может иметь для нас огромное значение, поскольку мы продолжаем помогать другим, оставляя этот сайт бесплатным:

Мы нанимаем

Мы ищем технических писателей на неполный или полный рабочий день, чтобы присоединиться к нашей команде! Речь идет об удаленной должности, на которую могут претендовать квалифицированные технические писатели из любой точки мира. Нажмите здесь, чтобы узнать больше.

Если вы хотите постоянно оставаться защищенным от угроз вредоносных программ, существующих и будущих, мы рекомендуем вам установить Malwarebytes Anti-Malware PRO, нажав кнопку ниже (мы получаем комиссию от продаж, полученных по этой ссылке, но без дополнительной оплаты). У нас есть опыт работы с этим программным обеспечением, и мы рекомендуем его, поскольку оно полезно и полезно):

Я недавно столкнулся с этой проблемой при попытке входа пользователя на одну из рабочих станций Windows 7, которые находятся в домене. В сообщении говорится: «Вы не можете войти в систему, потому что метод входа, который вы используете, не разрешен на этом компьютере. Пожалуйста, свяжитесь с вашим сетевым администратором для получения дополнительной информации». В AD пользователь является пользователем домена.

Чтобы обойти это, мы должны войти в систему с учетной записью администратора и добавить пользователя в учетные записи пользователей.

Есть ли у кого-нибудь идеи, что можно изменить, чтобы остановить это?

Защитите свои конечные точки от киберпреступников

2022-03-24 14:00:00 UTC Веб-семинар Веб-семинар: Cisco — защитите свои конечные точки от кибер-преступников Подробности о событии Просмотреть все события

28 ответов

Я нашел это на другом сайте, который может быть полезен:

Случай 1: "Разрешить локальный вход в систему" групповой политики не был настроен для разрешения пользователям или пользователям домена. Чтобы разрешить пользователям или пользователям домена входить в систему на компьютере или в домене, необходимо добавить пользователей или пользователей домена в «Разрешить локальный вход». Чтобы добавить пользователей, выполните следующие действия.

<р>1. Запустите gpedit.msc.
2. Разверните Параметры Windows\Параметры безопасности\Локальные политики
3. Нажмите «Назначение прав пользователя»
4. Убедитесь, что параметр «Разрешить локальный вход» включает в себя «Администраторы», «Операторы резервного копирования», «Пользователи домена» или «Пользователи».

Случай 2. Групповая политика "Запретить локальный вход" была настроена на запрет пользователей или пользователей домена. Чтобы разрешить пользователям или пользователям домена локальный вход на компьютер или в домен, параметр «Запретить локальный вход» должен быть пустым или в списке не должно быть пользователей или пользователей домена. Выполните следующие действия, чтобы удалить пользователей или пользователей домена из списка «Запретить локальный вход».

<р>1. Запустите gpedit.msc.
2. Разверните Параметры Windows\Параметры безопасности\Локальные политики
3. Нажмите «Назначение прав пользователя»
4. Убедитесь, что поле "Запретить локальный вход" пусто.

Вариант 3: локальная групповая политика разрешает пользователю вход в систему. Однако групповая политика домена, которая переопределяет локальную политику, не позволяет пользователям входить в систему локально. Решение заключается в изменении политики домена, чтобы пользователи могли входить в систему локально.

Вариант 4. Политика домена позволяет пользователям домена входить в систему локально, но локальная политика не позволяет, и политика домена не применяется к компьютеру. Исправление запускает gpupdate для принудительного обновления политики домена.

Вариант 5: Norton Firewall блокирует связь между клиентом и контроллером домена. Решение — отключить брандмауэр Norton или перенастроить его, чтобы разрешить доступ к контроллеру домена.

Выдержка из некоторых политик, которую вы можете проверить на TechNet.

Симптом: при попытке войти в систему с использованием идентификатора, отличного от администратора, может появиться следующее сообщение: «Вы не можете войти в систему, поскольку используемый вами метод входа не разрешен на этом компьютере. Для получения дополнительных сведений обратитесь к сетевому администратору. "

Случай 1: "Разрешить локальный вход в систему" групповой политики не был настроен для разрешения пользователям или пользователям домена. Чтобы разрешить пользователям или пользователям домена входить в систему на компьютере или в домене, необходимо добавить пользователей или пользователей домена в «Разрешить локальный вход». Чтобы добавить пользователей, выполните следующие действия.

<р>1. Запустите gpedit.msc.

<р>2. Разверните узел Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики

. <р>3. Нажмите «Назначение прав пользователя».

<р>4. Убедитесь, что параметр «Разрешить локальный вход» включает «Администраторы», «Резервное копирование».

Операторы, пользователи домена или пользователи.

Случай 2. Групповая политика "Запретить локальный вход" была настроена на запрет пользователей или пользователей домена. Чтобы разрешить пользователям или пользователям домена локальный вход на компьютер или в домен, параметр «Запретить локальный вход» должен быть пустым или в списке не должно быть пользователей или пользователей домена. Выполните следующие действия, чтобы удалить пользователей или пользователей домена из списка «Запретить локальный вход».

<р>1. Запустите gpedit.msc.

<р>2. Разверните Параметры Windows\Параметры безопасности\Локальные политики

. <р>3. Нажмите «Назначение прав пользователя».

<р>4. Убедитесь, что поле "Запретить локальный вход" пусто.

Вариант 3: локальная групповая политика разрешает пользователю вход в систему. Однако групповая политика домена, которая переопределяет локальную политику, не позволяет пользователям входить в систему локально. Решение заключается в изменении политики домена, чтобы пользователи могли входить в систему локально.

Вариант 4. Политика домена позволяет пользователям домена входить в систему локально, но локальная политика не позволяет, и политика домена не применяется к компьютеру. Исправление запускает gpupdate для принудительного обновления политики домена.

Вариант 5: Norton Firewall блокирует связь между клиентом и контроллером домена. Решение — отключить брандмауэр Norton или перенастроить его, чтобы разрешить доступ к контроллеру домена.

Сеансы удаленного рабочего стола работают по зашифрованному каналу, поэтому никто не может просматривать ваш сеанс путем прослушивания в сети. Однако в методе, используемом для шифрования сеансов в более ранних версиях RDP, есть уязвимость. Эта уязвимость может сделать возможным несанкционированный доступ к вашему сеансу с помощью атаки «человек посередине».

Удаленный рабочий стол можно защитить с помощью SSL/TLS в Windows Vista, Windows 7, Windows 8, Windows 10 и Windows Server 2003/2008/2012/2016. *Некоторые перечисленные системы больше не поддерживаются Microsoft и поэтому не соответствуют стандартам безопасности Campus. Если неподдерживаемые системы все еще используются, требуется исключение безопасности.

Хотя удаленный рабочий стол более безопасен, чем инструменты удаленного администрирования, такие как VNC, которые не шифруют весь сеанс, всякий раз, когда администратору предоставляется удаленный доступ к системе, возникают риски. Следующие советы помогут защитить удаленный доступ к рабочим столам и серверам, которые вы поддерживаете.

Основные советы по безопасности для удаленного рабочего стола

1. Используйте надежные пароли

Надежные пароли для любых учетных записей с доступом к удаленному рабочему столу следует рассматривать как обязательный шаг перед включением удаленного рабочего стола. Советы см. в руководстве по сложности пароля кампуса.

2. Используйте двухфакторную аутентификацию

Отделы должны рассмотреть возможность использования двухфакторной аутентификации. Эта тема выходит за рамки этой статьи, но шлюзы удаленных рабочих столов можно настроить для интеграции с экземпляром Campus DUO. Другими доступными опциями, не поддерживаемыми кампусом, будет простой механизм контроля аутентификации с помощью смарт-карт на основе двухфакторных сертификатов. Этот подход использует сам узел удаленного рабочего стола в сочетании с YubiKey и RSA в качестве примеров.

3. Обновите программное обеспечение

Одним из преимуществ использования удаленного рабочего стола по сравнению со сторонними инструментами удаленного администрирования является то, что компоненты автоматически обновляются с использованием последних исправлений безопасности в рамках стандартного цикла исправлений Microsoft. Убедитесь, что вы используете последние версии как клиентского, так и серверного программного обеспечения, включив и проведя аудит автоматических обновлений Microsoft. Если вы используете клиенты удаленного рабочего стола на других платформах, убедитесь, что они по-прежнему поддерживаются и у вас установлены последние версии.Старые версии могут не поддерживать высокий уровень шифрования и иметь другие недостатки безопасности.

4. Ограничить доступ с помощью брандмауэров

Используйте брандмауэры (как программные, так и аппаратные, если они доступны), чтобы ограничить доступ к прослушивающим портам удаленного рабочего стола (по умолчанию TCP 3389). Использование шлюза RDP настоятельно рекомендуется для ограничения доступа RDP к рабочим столам и серверам (см. обсуждение ниже). В качестве альтернативы для поддержки подключения за пределами кампуса вы можете использовать программное обеспечение кампусной VPN, чтобы получить IP-адрес кампуса и добавить пул сетевых адресов кампусной VPN в правило исключения брандмауэра RDP. Посетите нашу страницу для получения дополнительной информации о VPN-сервисе кампуса.

5. Включить аутентификацию на уровне сети

Windows 10, Windows Server 2012 R2/2016/2019 также по умолчанию обеспечивают проверку подлинности на уровне сети (NLA). Лучше оставить это на месте, так как NLA обеспечивает дополнительный уровень аутентификации до установления соединения. Серверы удаленных рабочих столов следует настраивать так, чтобы разрешать подключения без NLA, только если вы используете клиенты удаленных рабочих столов на других платформах, которые его не поддерживают.

NLA должен быть включен по умолчанию в Windows 10, Windows Server 2012 R2/2016/2019.

Для проверки можно посмотреть параметр групповой политики Требовать аутентификацию пользователя для удаленных подключений с помощью аутентификации на уровне сети, который находится в папке Компьютер\Политики\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность. Этот параметр групповой политики должен быть включен на сервере с ролью узла сеансов удаленных рабочих столов.

6. Ограничьте количество пользователей, которые могут входить в систему с помощью удаленного рабочего стола

По умолчанию все администраторы могут входить в удаленный рабочий стол. Если на вашем компьютере есть несколько учетных записей администратора, вы должны ограничить удаленный доступ только теми учетными записями, которым это необходимо. Если удаленный рабочий стол не используется для системного администрирования, удалите весь административный доступ через RDP и разрешите только учетные записи пользователей, которым требуется служба RDP. Для отделов, которые управляют многими машинами удаленно, удалите учетную запись локального администратора из доступа RDP по адресу и вместо этого добавьте техническую группу.

Нажмите Пуск-->Программы-->Администрирование-->Локальная политика безопасности

.

В разделе «Локальные политики» -> «Назначение прав пользователя» выберите «Разрешить вход через службы терминалов». Или «Разрешить вход через службы удаленных рабочих столов»

Удалите группу «Администраторы» и оставьте группу «Пользователи удаленного рабочего стола».

Используйте панель управления системой, чтобы добавить пользователей в группу пользователей удаленного рабочего стола.

Типичная операционная система MS по умолчанию имеет следующие настройки, как показано в локальной политике безопасности:

Проблема в том, что «Администраторы» здесь по умолчанию, а ваша учетная запись «Локальный администратор» находится в группе администраторов. Несмотря на то, что рекомендуется соглашение о паролях, чтобы избежать идентичных паролей локального администратора на локальном компьютере и жестко контролировать доступ к этим паролям или соглашениям, использование учетной записи локального администратора для удаленной работы на компьютере не позволяет должным образом регистрировать и идентифицировать пользователя, использующего систему. Лучше всего переопределить локальную политику безопасности с помощью параметра групповой политики.

Для управления доступом к системам также полезно использовать «Группы с ограниченным доступом» с помощью групповой политики.

Если вы используете параметр «Группа с ограниченным доступом», чтобы поместить свою группу, например, «CAMPUS\LAW-TECHIES» в «Администраторы» и «Пользователи удаленного рабочего стола», ваши технические специалисты по-прежнему будут иметь удаленный административный доступ, но с помощью шагов выше вы удалили проблемную «учетную запись локального администратора», имеющую доступ по RDP. В дальнейшем при добавлении новых машин в OU под объектом групповой политики ваши настройки будут правильными.

7. Установите политику блокировки учетной записи

Настроив свой компьютер на блокировку учетной записи для определенного количества неверных ответов, вы поможете хакерам не получить доступ к вашей системе с помощью инструментов автоматического подбора пароля (это называется атакой методом грубой силы). Чтобы установить политику блокировки учетной записи:

  1. Выберите "Пуск" --> "Программы" --> "Администрирование" --> "Локальная политика безопасности".
  2. В разделе «Политика учетной записи» -> «Политика блокировки учетной записи» задайте значения для всех трех параметров. Три недействительные попытки с трехминутной блокировкой являются разумным выбором.

Рекомендации по обеспечению дополнительной безопасности

1. Не разрешайте прямой доступ RDP к клиентам или серверам за пределами кампуса.

Настоятельно не рекомендуется открывать RDP (порт 3389) для сетей за пределами кампуса, поскольку это известное направление для многих атак.В приведенных ниже параметрах перечислены способы повышения безопасности при разрешении RDP-доступа к системе.

После настройки шлюза RDP хосты должны быть настроены так, чтобы разрешать подключения RDP только с хоста шлюза или подсетей кампуса, где это необходимо.

2. Использовать шлюзы RDP (лучший вариант)

Служба шлюза RDP также поддерживает новое требование к службам удаленного доступа черновика обновления MSSND (требование 8), которое требует использования утвержденной службы (например, шлюза RDP, выделенного шлюза или bSecure VPN) для доступ к сети Калифорнийского университета в Беркли из общедоступного Интернета.

Служба выделенного шлюза (управляемая). Требуется для доступа по протоколу RDP к системам с UC P4 или выше. Также необходимо настроить для DUO

В некоторых кампусных подразделениях в качестве шлюза удаленных рабочих столов используется VPS, управляемый IST. Приблизительно можно предположить, что 30-100 одновременных пользователей могут использовать один шлюз удаленных рабочих столов. HA на виртуальном уровне обеспечивает достаточно отказоустойчивый и надежный доступ; однако с балансировкой сетевой нагрузки можно реализовать несколько более сложную реализацию шлюза удаленных рабочих столов.

Установка конфигурации службы роли в основном соответствует описанию; однако рекомендуется использовать выданный Calnet доверенный сертификат Comodo. Использование самозаверяющего сертификата подходит для тестирования, а использование сертификата CalnetPKI может работать, если все клиенты доверяют корневому каталогу UCB. Сертификат Comodo обычно принимается лучше, чтобы ваши конечные пользователи не получали предупреждений о сертификате.

По сути, достаточно просто изменить вкладку "Дополнительно" вашего RDP-клиента:

3. Измените порт прослушивания для удаленного рабочего стола

Изменение порта прослушивания поможет «скрыть» удаленный рабочий стол от хакеров, которые сканируют сеть на наличие компьютеров, прослушивающих порт удаленного рабочего стола по умолчанию (TCP 3389). Это обеспечивает эффективную защиту от новейших червей RDP, таких как Morto. Для этого отредактируйте следующий раздел реестра (ВНИМАНИЕ: не пытайтесь сделать это, если вы не знакомы с реестром Windows и TCP/IP): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp. Измените порт прослушивания с 3389 на что-то другое и не забудьте обновить все правила брандмауэра с помощью нового порта. Хотя этот подход полезен, это безопасность через неизвестность, что не является самым надежным подходом к обеспечению безопасности. Вам следует убедиться, что вы также используете другие методы ограничения доступа, как описано в этой статье.

4. Туннельное подключение к удаленному рабочему столу через IPSec или SSH

5. Используйте существующие инструменты управления для регистрации и настройки RDP

Использование других компонентов, таких как VNC или PCAnywhere, не рекомендуется, так как они могут не обеспечивать аудит или защиту. При использовании RDP входы в систему проверяются в локальном журнале безопасности и часто в системе аудита контроллера домена. При мониторинге локальных журналов безопасности ищите аномалии в сеансах RDP, например попытки входа в систему из учетной записи локального администратора. RDP также имеет преимущество подхода централизованного управления через GPO, как описано выше. По возможности используйте объекты групповой политики или другие инструменты управления конфигурацией Windows, чтобы обеспечить согласованную и безопасную конфигурацию RDP на всех ваших серверах и настольных компьютерах.

Принудительно используя шлюз RDP, вы также получаете третий уровень аудита, который легче читать, чем прочесывать логины контроллера домена, и он отделен от целевой машины, поэтому он не подвержен несанкционированному вмешательству. Этот тип журнала значительно упрощает отслеживание того, как и когда используется RDP на всех устройствах в вашей среде.

Ограничение доступа к RDP с помощью брандмауэра Windows

Если у вас есть компьютер, управляемый кампусом:

  • Обратитесь за помощью в ИТ-службу поддержки клиентов или в ИТ-поддержку вашего отдела.

Если у вас есть персональный компьютер и права администратора:

  • Следуйте инструкциям в этой статье, чтобы обновить брандмауэр Windows, чтобы только авторизованные хосты и сети могли получить доступ к вашей системе через удаленный рабочий стол (RDP).

Настройки > Обновление и безопасность > Безопасность Windows > Брандмауэр и защита сети > Дополнительные параметры > Правила для входящих подключений > Удаленный рабочий стол — режим пользователя (TCP-In) > Свойства > Область действия > Удаленный IP-адрес > Добавить > Этот IP-адрес или подсеть< /p>

  1. Безопасность Windows > Брандмауэр и защита сети

  1. Правила для входящих подключений > Удаленный рабочий стол — Режим пользователя (TCP-входящий) > Свойства

  1. В поле Этот IP-адрес или подсеть добавьте только те IP-адреса и сетевые подсети, которым должно быть разрешено подключение к службе удаленного рабочего стола (RDP) вашего компьютера. Некоторые распространенные примеры IP-адресов и подсетей кампуса перечислены в разделе ниже.

IP-адреса и подсети кампуса

Исходя из ваших потребностей, выбирайте только авторизованные IP-адреса и подсети кампуса для подключения к службе RDP вашего компьютера. Network Operations & Services поддерживает исходный список UC Berkeley Campus Networks, но некоторые распространенные примеры приведены ниже для справки.

IST RD Gateway
Чтобы получить доступ к вашей системе через RDP напрямую из Интернета, используйте Campus Remote Desktop Gateway. Шлюз удаленных рабочих столов позволит вам использовать ваш идентификатор CalNet с push-уведомлениями Duo для подключения. Вы можете авторизовать шлюз удаленных рабочих столов, добавив следующую подсеть в правило брандмауэра:

Кампусные VPN-сети удаленного доступа (bSecure Remote Access Services with GlobalProtect)
Чтобы получить доступ к вашей системе через RDP через кампусную VPN, добавьте одну или несколько следующих VPN-сетей в правило брандмауэра:< /p>