Запрет прямого ip подключения Server 2012 R2

Многие системные администраторы хотят обезопасить свою сеть, помимо настройки локальной политике безопасности необходимо обезопасить свою сеть еще одним образом, а именно запретить вход по RDP и удаленному рабочему столу по прямому IP адресу.


В каких случаях может понадобится данная процедура? В моей практике встречались случаи, когда было необходимо запретить любой доступ к серверу извне! Но при этом на одной из сетевых карт был установлен прямой IP адрес от интернета провайдера, если вы немного знакомы с ролью VPN Server 2012 R2, то вы уже знаете о том, что любой пользователь, у которого подключен интернет сможет подключиться с помощью удаленного рабочего стола к компьютеру, на котором установлен прямой IP адрес. Поэтому в целях безопасности если вы не используете VPN или терминальный сервер настоятельно рекомендую вам обезопасить свою сеть!

Запрет подключения по RDP на Windows Server 2012 R2




Первым этапом откройте «Панель управления» и перейдите во вкладку «Администрирование»

Открываем раздел «Локальная политика безопасности»

Затем кликаем правой кнопкой мыши по разделу: «Политика IP безопасности на локальный компьютер» и выбираем пункт «Создать политику IP безопасности»

В стартовом окне мастера установки жмем «Далее»

В поле Имя введите название политики и нажмите «Далее»

В запросах безопасного соединения оставляем все по умолчанию и кликаем «Далее»

Далее жмем «Готово»

Кликаем по вновь созданному подключению и выбираем пункт «Добавить»

В мастере создания новых правил для IP безопасности нажимаем «Далее»

В данном окне выберите пункт «Это правило не определяет туннель» и нажмите «Далее»

Выберите тип сети к которому будет применяться данное правило, в нашем примере я укажу «Все сетевые подключения» после чего «Далее»

Теперь нам необходимо создать IP фильтр для того типа IP трафика, к которому будет применено правило безопасности, так как у нас нет действующих фильтров жмем «Добавить»

Итак, список так называемых IP фильтров формируется из множества фильтров, поэтому у нас появляется возможность сгруппировать в один фильтров несколько подсетей.

Задаем Имя в соответствующее поле и кликаем «Добавить»

В появившимся мастере нажимаем «Далее»

По желанию можете заполнить Описание, но я обычно данной настройкой пренебрегаю, поэтому жмем «Далее»

Здесь будьте внимательны, в адресе источника пакетов, из раскрывающегося списка выбираем «Любой IP адрес» и жмем «Далее»

Соответственно в адресе назначения указываем IP адрес к которому хотим запретить прямое IP подключение и нажимаем «Далее»

В разделе Тип протокола выбираем вкладку «Любой» и жмем «Далее»

Ну и завершаем работу мастера кнопкой «Готово»

Итак, после вышеуказанных процедур мы создали список IP фильтров на этом настройка не заканчивается поэтому нажмите «Ок»

Теперь мы должны привязать действие к списку IP фильтра, выбираем ранее созданный список и жмем «Далее»

Для того что бы добавить действие IP фильтра жмем «Добавить»

В мастере настройки снова кликаем «Далее»

Задаем Имя действия фильтра и нажимаем «Далее»

Обратите особое внимание на данный пункт, в нем мы непосредственно указываем действие для получаемых и отправляемых пакетов на наш прямой IP адрес, так как мы решили запретить доступ извне выбираем пункт «Блокировать» затем «Далее»

Завершаем мастер кнопкой «Готово»

После того как мы создали действие блокировки применяем его на списке фильтров, для этого выберем его в списке и нажмем «Далее»

Завершаем вышеуказанные настройки нажав «Готово»

Во вкладке «Правила» необходимо выбрать ранее созданный «Список IP фильтров» и нажать «Применить»

В завершении вышеуказанных настроек необходимо запустить наш запрет подключения по прямому IP, для этого кликаем правой кнопкой мыши, по политике которую мы создали и выбираем пункт «Назначить»

Теперь если пользователи захотят подключиться через удаленный рабочий стол по прямому IP адресу к счастью у них ничего не получится так как мы запретили все пакеты для данного IP адреса.

Если у вас возникли вопросы по данной статье пишите мне в комментарии и подписывайтесь на рассылку. Всем спасибо за прочтение и удачи во всех начинаниях!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *