[Yazago]

Цитата zet2:

Доступ к 1С для всех пользователей разрешен терминально »

А не проще использовать клиент-сервеное приложение?

Как сервер смотрит в интернет? Используется ли VPN?

Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать,
как статические, такие и динамические ip-aдреса.

Если у вас заведен домен, то как вариант можно использовать ограничение области
действия группы "пользователи домена". По умолчанию стоит глобальная область действия, тоесть
все разрешено, надо будет поменять на локальную. И тогда терминальный доступ будет разрешен
внутри сети. А для входа из вне надо будет создать отдельную группу, которая сможет заходить с внешних IP по RDP.

[exo]

Цитата zet2:

1) как ограничить пользователей (не всех) от захода с внешнего IP адреса . »

Включить Брэндмауер с настройками - запретить RDP всем IP кроме области - и пишите какие IP разрешить!
Не забудьте свой прописать.

[ShaddyR]

exo, =>

Цитата Yazago:

Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать, как статические, такие и динамические ip-aдреса. »

[exo]

Цитата Yazago:

Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать, как статические, такие и динамические ip-aдреса. »

ну пропишите не один IP, а пару сетей. У меня к примеру IP раздаётся из 4 сетей класса С.

[Dirk Diggler]

Цитата zet2:

2) организовать защиту от несанкционированного доступа на терминал. »

Используйте шифрацию траффика с помощью zebedee - замечательно шифрует трафик по 1 или нескольким портам.

Приблизительный мануал:

Ставится zebedee
Генеришь ключ для клиента(по нему он будет авторизовываться):

zebedee.exe -p > key.key

Из него делаешь Identity для сервера

zebedee.exe -P -f key.key > id.id

по нему сервер будет авторизовывать клиента.
На клиенте в каталог с zebedee.exe кладешь ключ key.key и пишешь вот такой конфиг(значения порта и IP поставишь сам):

Код:

serverport 2222 
serverhost yy.yy.yy.yy 
include 'key.key' 
detached false   # You will probably want this 'true' for normal 
      # use but I want to make sure that you see the 
      # preceding message if you haven't edited this. 

server false   # Yes, it's a server! 
ipmode tcp 
tunnel 8000:192.168.1.4:8185 
httpproxy 10.0.0.1:3128

Это конфиг с некоего компа (любого), ходящего в инет через прокси, не требующий авторизации. Если прокси нет, а есть нат, строку httpproxy можно закомментить. Этот комп удаленно подсоединяется к zebedee-серверу, который работает на порту 2222 tcp, на IP yy.yy.yy.yy и авторизуется ключом из key.key. Строчка tunnel означает: "подсоединяясь на локальный 8000 порт, на самом деле попадешь на 192.168.1.4:8185".

На сервере кладется тем же макаром id.id и пишеццо конфиг

Код:

target 192.168.1.4:8185/tcp  # куды слать пакеты 
serverport 2222 
listenip 192.168.2.1   #  Кароче, тут понятно 

detached false   # You will probably want this 'true' for normal 
      # use but I want to make sure that you see the 
      # preceding message if you haven't edited this. 

server true   # Yes, it's a server! 
ipmode tcp                   
checkidfile 'id.id'

использовать понятно как, запускаешь и там и там:

zebedee.exe -f config.zbd

и на клиентском компе используешь 127.0.0.1:8000 как вход в туннель, пакет появится на компе с zebedee-сервером, который пошлет его по маршруту, указанному в target.

Ключей клиента можно создать несколько и раздать доверенным лицам. Наружу открыть только порт, который слушает zebedee-cервер

[exo]

вроде РДП и так шифрованный трафик...

[monkkey]

Если пользователи заходят на терминал "снаружи", то стОит разрешить подключение только с определенных IP. Можно ограничивать время работы учетной записи. В общем, представленная информация скудновата.

[Dirk Diggler]

Цитата exo:

вроде РДП и так шифрованный трафик... »

Задача стоит как:

Цитата Dirk Diggler:

2) организовать защиту от несанкционированного доступа на терминал. »

В случае использования zebedee добиваемся этого 2мя моментами:
1) скрываем реальный порт
2) прежде чем получить картинку на терминального клиента, проходим авторизацию по ключу от zebedee.
Хотя лично я в случае терминалов никогда так не морочился.

[dascon]

Цитата:

1) скрываем реальный порт

а Win2k3 позволяет использовать для TS порт отличный от 3389?

Цитата:

прежде чем получить картинку на терминального клиента, проходим авторизацию по ключу от zebedee. Хотя лично я в случае терминалов никогда так не морочился.

а насколько оправдано применение шифрации, VPN при удаленном подключении к TS?