Стоит win2003. На нем крутиться 1C, SQL, почта. Доступ к 1С для всех пользователей разрешен терминально. Не давно столкнулся с тем что пользователи стали заходить на сервер удаленно с дома. От сюда появилась задача:
1) как ограничить пользователей (не всех) от захода с внешнего IP адреса .
2) организовать защиту от несанкционированного доступа на терминал.

Доступ к 1С для всех пользователей разрешен терминально »
А не проще использовать клиент-сервеное приложение?

Как сервер смотрит в интернет? Используется ли VPN?

Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать,
как статические, такие и динамические ip-aдреса.

Если у вас заведен домен, то как вариант можно использовать ограничение области
действия группы "пользователи домена". По умолчанию стоит глобальная область действия, тоесть
все разрешено, надо будет поменять на локальную. И тогда терминальный доступ будет разрешен
внутри сети. А для входа из вне надо будет создать отдельную группу, которая сможет заходить с внешних IP по RDP.

1) как ограничить пользователей (не всех) от захода с внешнего IP адреса . »
Включить Брэндмауер с настройками - запретить RDP всем IP кроме области - и пишите какие IP разрешить!
Не забудьте свой прописать.

exo, => Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать,
как статические, такие и динамические ip-aдреса. »

Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать,
как статические, такие и динамические ip-aдреса. »
ну пропишите не один IP, а пару сетей. У меня к примеру IP раздаётся из 4 сетей класса С.

2) организовать защиту от несанкционированного доступа на терминал. »
Используйте шифрацию траффика с помощью zebedee - замечательно шифрует трафик по 1 или нескольким портам.

Приблизительный мануал:

Ставится zebedee
Генеришь ключ для клиента(по нему он будет авторизовываться):

zebedee.exe -p > key.key

Из него делаешь Identity для сервера

zebedee.exe -P -f key.key > id.id

по нему сервер будет авторизовывать клиента.
На клиенте в каталог с zebedee.exe кладешь ключ key.key и пишешь вот такой конфиг(значения порта и IP поставишь сам):

serverport 2222
serverhost yy.yy.yy.yy
include 'key.key'
detached false # You will probably want this 'true' for normal
# use but I want to make sure that you see the
# preceding message if you haven't edited this.

server false # Yes, it's a server!
ipmode tcp
tunnel 8000:192.168.1.4:8185
httpproxy 10.0.0.1:3128


Это конфиг с некоего компа (любого), ходящего в инет через прокси, не требующий авторизации. Если прокси нет, а есть нат, строку httpproxy можно закомментить. Этот комп удаленно подсоединяется к zebedee-серверу, который работает на порту 2222 tcp, на IP yy.yy.yy.yy и авторизуется ключом из key.key. Строчка tunnel означает: "подсоединяясь на локальный 8000 порт, на самом деле попадешь на 192.168.1.4:8185".

На сервере кладется тем же макаром id.id и пишеццо конфиг

target 192.168.1.4:8185/tcp # куды слать пакеты
serverport 2222
listenip 192.168.2.1 # Кароче, тут понятно

detached false # You will probably want this 'true' for normal
# use but I want to make sure that you see the
# preceding message if you haven't edited this.

server true # Yes, it's a server!
ipmode tcp
checkidfile 'id.id'


использовать понятно как, запускаешь и там и там:

zebedee.exe -f config.zbd

и на клиентском компе используешь 127.0.0.1:8000 как вход в туннель, пакет появится на компе с zebedee-сервером, который пошлет его по маршруту, указанному в target.

Ключей клиента можно создать несколько и раздать доверенным лицам. Наружу открыть только порт, который слушает zebedee-cервер

вроде РДП и так шифрованный трафик...

Если пользователи заходят на терминал "снаружи", то стОит разрешить подключение только с определенных IP. Можно ограничивать время работы учетной записи. В общем, представленная информация скудновата.

вроде РДП и так шифрованный трафик... »
Задача стоит как:
2) организовать защиту от несанкционированного доступа на терминал. »
В случае использования zebedee добиваемся этого 2мя моментами:
1) скрываем реальный порт
2) прежде чем получить картинку на терминального клиента, проходим авторизацию по ключу от zebedee.
Хотя лично я в случае терминалов никогда так не морочился.

1) скрываем реальный порт
а Win2k3 позволяет использовать для TS порт отличный от 3389?
прежде чем получить картинку на терминального клиента, проходим авторизацию по ключу от zebedee.
Хотя лично я в случае терминалов никогда так не морочился.
а насколько оправдано применение шифрации, VPN при удаленном подключении к TS?

а Win2k3 позволяет использовать для TS порт отличный от 3389?
Ещё как позволяет. Порт на сервере настраивается в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
А адрес сервера в терминальном клиенте нужно задавать с указанием нового номера порта через двоеточие, как это делается и в браузере:
10.1.25.1:xxxxx

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber »
что-то я менял - не менялся порт...

что-то я менял - не менялся порт... »
Ну, раз уж мне не веришь, держи первоисточник:
306759 (http://support.microsoft.com/?id=306759)
304304 (http://support.microsoft.com/kb/304304/)
Подсказка: в реестре порт лучше ставить в 16-чном виде, т.е., если надо заменить 3389 на 3390, то меняем D3D на D3E. Ну, и ребут, конечно.

Ну, и ребут, конечно. »
ааа, вот куищща я не делал...

Не давно столкнулся с тем что пользователи стали заходить на сервер удаленно с дома. »
Вопрос первый. На работе пользователи находятся в локальной сети?
Если "да", то в файрволле разрешить "удалённый рабочий стол" (порты RDP) только для локальной подсети. Всё...

Теперь второй вопрос. Как организован совместный доступ к интернету? Выполняет ли сервер ещё и функцию прокси, или для этого используется отдельный ПК либо аппаратный машртизатор?

И ещё, если пользователи лезут на сервер с дома, значит кто угодно может получить полный доступ к системе. Удивляюсь, как ещё сервер жив :)

Выполняет ли сервер ещё и функцию прокси
Естественно, они ещё на него и NAT повесили. :) Классическая болезнь молодости. ;)

если пользователи лезут на сервер с дома, значит кто угодно может получить полный доступ к системе
насколько реальна такая угроза, как это сделать? разумеется, если пользователи не с админскими правами

насколько реальна такая угроза, как это сделать? »
журнал ][акер за этот месяц - там интересная статья как войти на сервер через RDP.

у меня вопрос созрел.
У удалёнщиков установлены старые версии клиентов РДП - 5.
Как мне настроить сервер, чтобы он не принимал соеденения с 5, а только с 6 ? и при использовании 5 ругался - обратитесь администратору за новой версией клиента РДП.

журнал ][акер за этот месяц - там интересная статья как войти на сервер через RDP
а ссылочки на эл.версию этого журнала нет? и какие методы предотвращения подобного предлагатся?
У удалёнщиков установлены старые версии клиентов РДП - 5
Че-то не знал даже что 6 есть. Это в Win2k8? А где клиента такого взять?