Задача:
Выпустить пользователя в Интернет с терминального сервера максимально обезопасив сам сервер от возможного заражения.
Вижу следующие варианты:
1) Классический: Режем все возможные права и тюним права на запись в различные директории + антивирус с фаерволом + какой-нибудь интересный проксик)
(Минусы: Долго тюнить + стоимость антивируса и проксика)
2) Извратный: Запускаем браузер как RemoteApp с другого сервера, который является виртуальным и откатывается к дефолтному состоянию к примеру раз в в сутки.
(Минусы: Стоимость серверной лицензии (Server 2008R2/2012))
Будем считать что аппаратные ресурсы на кластере виртуализации расходуются в обоих вариантах примерно одинаково.
Можно ли опубликовать приложение бесплатными средствами? Или как-то еще интереснее решить данную задачу?
Эм. первое что Вам надо под Windows — права обычных пользователей у всех.
второе что при этом надо — Локальные или групповые политики и запрет запуска п/о откуда угодно, кроме c:\windows, Program Files +(x86 вариант)
Ну и ms essentials для антивирусной защиты.
Собственно, дальше требуется только регулярная установка обновлений на установленный софт (1с, офис, жава/флеш, адоб ридер)
На этом, собственно всё.
Главное политики по запуску п/о аккурано правьте — штатных хватает, но для администраторов всё таки установку п/о лучше оставить.
Плюс для администраторов разрешить запуск инсталляторов из какой-то папки, куда доступ на r/w есть только для администраторов.
Еще можно подкрутить политиками запуск исполняемых компонентов-плагинов для IE.
Еще вдогонку — поставьте фичу resource manager для квотирования ресурсов, иначе один броузер, которому снесло крышу может отожрать все ресурсы системы так, что даже залогиниться и запустить менеджер задач администратору может оказаться проблематично — реальный кейс неделю назад на терминалке у меня в компании.
Да, думал. Используя X11-Forwarding.
Надо пробовать. Вижу нюансы с учетными записями и прозрачной доменной авторизацией, а так же если сессия рвется-приложение закрывается.
Как альтернатива — можно виртуализовать приложение Web-браузера (Microsoft App-V, VMware ThinApp или другие), добавив в пакет дополнительные необходимые компоненты — flash, java, etc.
Но прокси-сервер и антивирус должны быть в любом случае.
Стремное какое-то решение, Вы уж извините, я так понял это просто софт на обычном тазике? Я б лучше тех же НР стареньких набрал баксов по 50-60, что-то вроде Т5530/Т5710
Ну вот на тонких клиентах стоит линуксовая прошивка бутающаяся по сети.
а в линукс никто не мешает впихнуть что броузер что скайп что еще туеву кучу софта.
местами RDP/VNC далеко не самое главное требование
Я бы не рекомендовал запускать браузер(ы) на рабочем терминальном сервере, где крутится рабочий софт. Т.к. у пользователя есть возможность открыть неограниченное число вкладок с неограниченным числом глючных flash-баннеров.
А так как в Windows (вплоть до 2008 R2 включительно) НЕТ инструментов по ограничению пользователя по памяти/процессору —
это может вызвать тормоза всего сервера.
Я бы посмотрел в сторону второго терминального сервера на Linux (LTSP) с RDP-доступом к нему.
у себя на предприятии полностью отказался от RemoteApp (win 2008 R2 server). Крайне очень не стабильная штука. Чуть чихнёшь — «ошибка протокола», и перезапускать всё заного…
Простите, но это что-то в Вашем королевстве не так.
У меня у знакомых по компаниям массово стоят что просто RDP сеансы, что виртуализированные 1C и прочие офисные приложения реалий СНГ.
Лично разворачивал несколько RDP ферм по компаниям от десятка до нескольких сотен человек, ни разу крупных проблем не было
не путайте rdp и remoteApps!
Хотите пример как 100% крашнуть remoteApps? подключитесь в сеанс пользователя с remoteApps на терминальном сервере. При отключении 100% краш окна у клиента.
не путаю, спасибо за идею, надо будет как-то проверить.
А вообще за всё время использования remoteapps такой надобности подключиться к мс офису/1с/опубликованным crm
а) не было и разу.
б) инцидентов типа «1с не работает» (RApps) на моей практике не было — Учётки лочились, инет падал, профили пересоздавать приходилось, но вот работа конкретно приложения не нарушалась никогда.
ещё 1 существенный минус к RA.
Пусть пользователь запустит RА с 1С, где выбирается пользователь. Маленькое такое окошко. Подключитесь в сеанс в этот момент. Отключитесь. У него окошко навеке будет маленьких размеров, пока не перезапустит сеанс RA
Средний
Средний
