Работа с Security Server - первые шаги
Зачем нужен Security Server?
Проще всего ответить на этот вопрос с помощью аналогии: зачем нужна служба каталога, например, Active Directory? Права на доступ к серверным и прочим ресурсам можно задавать непосредственно каждом сервере и компьютере, но проще это сделать централизованно, с помощью единой базы данных прав и полномочий.
По этому же принципу устроен Security Server. Рассмотрим на примере: у вас есть парк из нескольких десятков (а может быть сотен и тысяч!) компьютеров, из которых есть более важные и менее важные, с точки зрения безопасности. Пусть вам нужно предоставить на некоторых компьютерах права только на просмотр пользователю user2, а пользователю user1 - полные права. Это достаточно легко сделать из настроек управляемого компьютера (Host - в терминологии Netop):
Основная проблема такого способа - трудозатратность добавления и изменения прав. Netop Security Server в первую очредь помогает справиться с этой проблемой.
Многие наши пользователи предпочитают работать с англоязычной версией программы. Поэтому мы приводим скриншоты именно английской версии. Однако у нас, разумеется, есть полностью русифицированная версия.
Как работает Security Server
Netop Security Server - это отдельный модуль Netop, который устанавливается на отдельном сервере. Его задача - аутентификация пользователей, которые подключаются к модулям Host, а также определение того, какие действия может выполнять администратор (Guest) на удаленном компьютере (Host).
С точки зрения процедуры это выглядит следующим образом:
- Сотрудник технической поддержки или администратор (Guest) устанавливают соединение с удаленным компьютером (Host).
- Перед тем, как разрешить то или иное действие (например, просмотр экрана или управление мышью/клавиатурой), Host должен провести аутентификацию и авторизацию. С этим Host обращается на Security Server.
- Security Server использует заданные политики безопасности и (при необходимости) обращается к службам каталога (например, Active Directory).
- Когда этот процесс завершен, ответ отправляется на Host (с указанием, можно ли данному Guest подключиться и с какими правами).
- В зависимости от результата аутентификации и авторизации Host либо разрешает, либо не разрешает доступ для Guest.
Как установить Security Server
Модуль Security Server устанавливается с помощью отдельного дистрибутива и требует отдельного (от Host и Guest) ключа. Security Server состоит из следующих компонентов:
- Сам Security Server - это компонент, который отвечает на запросы Host. Также обратите внимание, что этот компонент работает и в режиме Host, то есть к нему можно подключиться как к обычному Host.
- База данных, в которой хранятся политики безопасности и все настройки Netop Security Server
- Security Manager - интерфейс для редактирования базы данных
В качестве базы данных можно использовать Microsoft Access и Microsoft SQL Server. Обычно MS Access используется только в тестовых целях, поскольку ею можно начать пользоваться сразу после установки Security Server. В производственных целях использование MS Access не рекомендуется.
Первичная настройка
Рассмотрим самый простой вариант: установку в пробном режиме и тестовой MS Access базой данных. В ходе самой установки менять какие-либо параметры нет необходимости: можно все оставить по умолчанию.
После завершения установки запустим интерфейс для редактирования базы данных Security Manager. В окне входа в систему укажите, что желаете создать локальную тестовую базу данных. Имя пользователя и пароль не имеют значения, однако вам может потребоваться вручную добавить источник базы данных (DSN) в Windows. Тестовая база данных обычно размещается в папке %ProgramData%/Danware Data/NSS/, однако может быть и в другом месте (в зависимости от версии Netop Remote Control). Имя файла базы данных по умолчанию - ameval.mdb.
С помощью Netop Security Server можно задавать множество сложных политик для самых изощренных с точки зрения безопасности ситуаций. Однако мы остановимся пока на самом простом случае.
В нашей гипотетической ситуации в организации используется Active Directory и работает несколько ИТ-специалистов. Все специалисты должны иметь возможность подключаться ко всем удаленным компьютерам в режиме просмотра экрана и передачи файлов, и только один, самый главный ИТ-специалист, должен иметь полный доступ. При этом Guest будет идентифицироваться по имени пользователя и паролю домена Windows, а удаленные компьютеры идентифицируются как компьютеры, то есть не имеет значения, какой пользователь за ними работает.
Настройка политики безопасности
Для настройки политики доступа откройте Security Manager и разверните в древовидном меню слева раздел Security Settings. Во-первых, укажем Netop, что идентифицировать Guest мы желаем по имени пользователя домена Windows, а Host - как компьютер (без дифференциации пользователей, которые за этим компьютером работают). Для этого в разделе Security Policies установим:
- Preferred Guest Type: Windows User
- Preferred Host Type: Always Workstation
Далее откройте раздел Roles (роли безопасности). После установки уже созданы такие типовые роли, как Full Control (полный доступ без ограничений) и No Access (все запрещено). Нам предстоит создать роль, где было бы разрешено видеть экран удаленного компьютера и передавать файлы (в обе стороны).
Для этого нажмите правой кнопкой мыши по пустому пространству справа при выбранном пункте Roles слева. Далее выберите New и откроется окно следующего вида:
Дайте название новой роли и выберите действия, который Guest может и не может выполнять на удаленном компьютере.
У Вас должно получить примерно как на рисунке выше.
Третий этап - это создание правила доступа. Выберите пункт Role Assignment и, аналогично предыдущему шагу, нажмите правой кнопкой и выберите New. Откроется мастер создания правила.
Сначала определите, к каким Guest будет применяться данное правило. Нам нужно создать два правила (последовательно): одно будет применяться к группе пользователей Domain Admins (все администраторы), а другое - только к нашему гипотетическому пользователю superadmin. Рассмотрим создание правила на примере пользователя superadmin (второе правило создается по аналогии).
Выберите Windows User и найдите пользователя в Active Directory, к которому будет применяться правило.
В следующем окне просто проверьте, что выбран правильный пользователь и нажмите на кнопку Next.
Вы можете выбрать множество различных типов Host, однако в нашей ситуации выберите Everybody. Правило, таким образом, будет применяться ко всем удаленным компьютерам.
Выберите, какая роль безопасности будет применяться. В случае superadmin нужно выбрать Full Control. Когда вы будете создавать второе правило для группы пользователей, нужно будет выбрать Просмотр и файлы.
У вас должно получиться в итоге примерно как показано на рисунке выше.
Настройка Security Server
Security Manager - это лишь интерфейс для редактирования базы данных. Теперь необходимо указать, какой базой данных нужно пользоваться, основному компоненту - Security Server.
Закройте Security Manager перед переходом к следующему шагу: доступ к базе данных MS Access возможен только из одной из программ. Это еще одна причина, почему рекомендуется использовать SQL Server.
Откройте окно Security Server (для этого можно, например, нажать кнопкой мыши по пиктограмме бумажного змея рядом с часами). Выберите меню Tools и далее Security Server Setup.
Выберите источник данных (DSN), который использовался в Netop Security Manager, или создайте новый. Нажмите на кнопу Login и удостоверьтесь, что соединение успешно установлено. Этому будет свидетельствовать статус Security Server Running.
Настройка Host
Мы почти у цели. Осталось настроить Host с тем, чтобы он производил аутентификацию и авторизацию с помощью Security Server. Это несложно сделать.
Откройте окно Netop Host и далее Guest Access Security. В меню Guest Access Method выберите Use Netop Security Server. Далее необходимо скопировать Public Key из Netop Security Server (рисунок к предыдущему шагу) в окно Public Key. Это требуется для обеспечения безопасности трафика между Host и Security Server.
Сохраните настройки и можно пробовать подключаться.
Если Host и Security Server находятся в разных подсетях, то есть Host не сможет обнаружить Security Server с помощью широковещательных запросов, то необходимо добавить IP-адрес Security Server в настройки Host. Для этого:
- Откройте меню Tools, далее Communication Profiles
- Выберите профиль TCP/IP и нажмите на кнопку Edit
- Нажмите на кнопку IP Broadcast List и добавьте IP-адрес Security Server.