Настройка сервера MS Windows Server 2016, 2019

RDP: Базовая безопасность:

1. secpol.msc Политика учетных записей > Политика паролей > Настраиваем политику блокировки учетной записи на 30 минут, 5 ошибок входа за последние 5 минут.

2. Настраиваем максимально время сеанса, максимально время бездействующего сеанса, максимальное время отключенного сеанса.

3. gpedit.msc > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удалённых рабочих столов > Клиент подключения к удалённому рабочему столу > Запретить сохранение паролей

4. gpedit.msc > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Службы удаленных рабочих столов > Узел сеансов удаленных рабочих столов > Безопасность > Всегда запрашивать пароль при подключении

RUN: Базовая безопасность:

secpol.msc > Политика ограниченного использования программ 

Ограничиваем политику запуска программ только из следующих папок:

Неограниченный запуск:

  • %HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\SystemRoot%
  • %HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\ProgramFilesDir%
  • %HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\ProgramFilesDir (x86)%
  • %HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\ProgramW6432Dir%

Запрещен запуск:

  • %HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\Print\\\\Printers\\\\DefaultSpoolDirectory%
  • %HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion\\\\SystemRoot%Temp

Запрещаем запуск программ:

  • hh.exe
  • mshta.exe
  • reg.exe
  • runas.exe

В итоге:


Удаляем lnk из списка запрещенных программ.

CMD: Дать права на теневое подключение:

Создать группу пользователей, дать ей имя например RDPAdmin, выполнить команду cmd:

wmic /namespace:\\\\\\\ oot\\\\CIMV2\\\\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName ="RDP-Tcp") CALL AddAccount "SERVERNAME\\\\RDPAdmin",2

CMD: Теневое подключение к сеансу пользователя:

В случае если у вас уже создана группа пользователей имеющих права на теневое подключение, используйте команду:

mstsc /shadow:%ID Сеанса% /control

Чтобы узнать ID сеанса используйте в CMD:

query session

Вы сможете упростить подключение с помощью следующей программы, предварительно необходимо сохранить в bat:

@echo off query session echo. set /p x="Введите ID партнера: " echo Партнёр получил уведомление о запросе, ожидайте подтверждения. mstsc /shadow:%x% /control
Regedit: Полностью отключить IPv6 для корректной работы 1с сервера

В следующей ветке реестра нужно изменить значение параметра DisabledComponents на 000000ff.

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\\\\SYSTEM\\\\CurrentControlSet\\\\Services\\\\Tcpip6\\\\Parameters] "DisabledComponents"=dword:000000ff