Заборона прямого ip підключення Server 2012 R2

Багато системні адміністратори хочуть убезпечити свою мережу, крім настройки локальної політики безпеки необхідно убезпечити свою мережу ще одним чином, а саме заборонити вхід по RDP і віддаленого робочого столу за прямим IP адресою.

В яких випадках може знадобиться дана процедура? У моїй практиці зустрічалися випадки, коли було необхідно заборонити будь-який доступ до сервера ззовні! Але при цьому на одній з мережевих карт був встановлений прямий IP адреса від інтернету провайдера, якщо ви трохи знайомі з роллю VPN Server 2012 R2, то ви вже знаєте про те, що будь-який користувач, у якого підключений інтернет зможе підключитися за допомогою віддаленого робочого стола до комп’ютера, на якому встановлений прямий IP адреса. Тому з метою безпеки якщо ви не використовуєте VPN або термінальний сервер настійно рекомендую вам убезпечити свою мережу!

Заборона підключення по RDP на Windows Server 2012 R2

Першим етапом відкрийте «Панель управління»І перейдіть у вкладку«адміністрування»

Відкриваємо розділ «Локальна політика безпеки»

Потім натискаємо правою кнопкою миші по розділу: «Політика IP безпеки на локальний комп’ютер»І вибираємо пункт«Створити політику IP безпеки»

У стартовому вікні майстра установки тиснемо «далі»

У полі Ім’я введіть назву політики та натисніть «далі»

У запитах безпечного з’єднання залишаємо все за замовчуванням і натискаємо «далі»

Далі тиснемо «Готово»

Кількома по новоствореному підключенню і вибираємо пункт «Додати»

У майстра створення нових правил для IP безпеки натискаємо «далі»

В даному вікні виберіть пункт «Це правило не визначає тунель” і натисніть “далі»

Виберіть тип мережі до якого буде застосовуватися дане правило, в нашому прикладі я покажу «Всі мережеві підключення” після чого “далі»

Тепер нам необхідно створити IP фільтр для того типу IP трафіку, до якого буде застосовано правило безпеки, так як у нас немає діючих фільтрів тиснемо «Додати»

Отже, список так званих IP фільтрів формується з безлічі фільтрів, тому у нас з’являється можливість згрупувати в один фільтрів декілька підмереж.

задаємо ім’я у відповідне поле і натискаємо «Додати»

У що з’явився майстра натискаємо «далі»

За бажанням можете заповнити опис, але я зазвичай даної налаштуванням нехтую, тому тиснемо «далі»

Тут будьте уважні, в адресі джерела пакетів, із списку вибираємо «Будь-IP адреса»І тиснемо«далі»

Відповідно в адресі призначення вказуємо IP адреса до якого хочемо заборонити пряме IP підключення і натискаємо «далі»

В розділі Тип протоколу вибираємо вкладку «Будь-який»І тиснемо«далі»

Ну і завершуємо роботу майстра кнопкою «Готово»

Отже, після вищевказаних процедур ми створили список IP фільтрів на цьому настройка не закінчується тому натисніть «Ок»

Тепер ми повинні прив’язати дію до списку IP фільтра, вибираємо раніше створений список і тиснемо «далі»

Для того щоб додати дію IP фільтра тиснемо «Додати»

У майстра настройки знову натискаємо «далі»

Задаємо Ім’я дії фільтра і натискаємо «далі»

Зверніть особливу увагу на даний пункт, в ньому ми безпосередньо вказуємо дію для одержуваних і що надійшли пакетів на наш прямий IP адреса, так як ми вирішили заборонити доступ ззовні вибираємо пункт «блокувати»Потім«далі»

Завершуємо майстер кнопкою «Готово»

Після того як ми створили дію блокування застосовуємо його на списку фільтрів, для цього виберемо його в списку і натиснемо «далі»

Завершуємо вищевказані налаштування натиснувши «Готово»

У вкладці «Правила»Необхідно вибрати раніше створений«Список IP фільтрів»І натиснути«застосувати»

На завершення вищевказаних налаштувань необхідно запустити нашу заборону підключення за прямим IP, для цього натискаємо правою кнопкою миші, по політиці яку ми створили і вибираємо пункт «призначити»

Тепер якщо користувачі захочуть підключитися через віддалений робочий стіл за прямим IP адресою на щастя у них нічого не вийде так як ми заборонили все пакети для даного IP адреси.

Якщо у вас виникли питання по даній статті пишіть мені в коментарі і підписуйтесь на розсилку.

Ссылка на основную публикацию