161
диться в отсутствии на нем опасных программ, позволяющих атаковать сис-
тему.
Необходимо использовать меры по организации для пользователей
замкнутой программной среды, исключающей запуск любых приложений,
кроме приложений, обеспечивающих работу с защищаемыми данными:
− удаление потенциально опасных исполняемых файлов;
− установка NTFS-разрешений, запрещающих пользователям терминаль-
ного сервера запуск потенциально опасных приложений, необходимых для
работы администратора, которые невозможно удалить;
− применение списков программ, доступных для запуска пользователям
терминального сервера.
6.3. Настройки сервера MSTS
Настройки сервера MSTS включают в себя настройки политики безо-
пасности ОС Windows Server 2003. Основная задача, решаемая данными на-
стройками, состоит в разрешении возможности доступа к ресурсам терми-
нального сервера только для учетных записей, зарегистрированных в создан-
ной по умолчанию группе «Remote Desktop Users». Кроме того, применяются
дополнительные меры по запрету терминального доступа для администратора
и пользователей, входящих в состав группы Administrators. Эти меры требу-
ются для защиты учетных записей администраторов от подбора: даже при из-
вестном пароле администратора зарегистрироваться с данной учетной запи-
сью будет невозможно.
По умолчанию параметр политики безопасности «Allow log on through
Terminal Server» (раздел «Назначение прав пользователя» оснастки «Локаль-
ная политика безопасности») разрешает терминальный доступ для группы
Administrators. Необходимо исключить из перечня учетных записей, имеющих
данную привилегию, все группы за исключением «Remote Desktop Users»
(
рис. 6.12).
Параметр политики безопасности «Deny log on through Terminal Server»
(раздел «Назначение прав пользователя» оснастки «Локальная политика безо-
пасности») по умолчанию не установлен. Необходимо установить специаль-
ный запрет терминального доступа для группы Administrators, а также для ос-
тальных учетных записей, имеющих права администратора, добавив в пере-
чень требуемые учетные записи (
рис. 6.13).
Все учетные записи, которые предназначены для терминального досту-
па, должны быть включены в состав группы «Remote Desktop Users», участие
этих учетных записей в составе иных групп должно быть исключено (
рис.
6.14
).
Для сервера (свойства объекта «Мой компьютер», раздел «Remote») не-
обходимо установить возможность терминального доступа (включить пара-
метр «Enable Remote Desktop on this computer»).