Проблема
- Вы хотите разрешить пользователям домена подключаться к клиентам инфраструктуры виртуальных рабочих столов (виртуальным машинам) через RDP только в том случае, если RDP защищен с помощью двухфакторной аутентификации
Решение
Чтобы защитить RDP-соединение клиентов Virtual Desktops Infrastructure (VDI) с помощью 2FA, чтобы доступ через RDP не был разрешен без ввода одноразового пароля (OTP) в качестве второго фактора аутентификации, необходимо выполнить два важных изменения после установки и настройки шаблона VDI в соответствии с вашими требованиями.
Установите и предварительно настройте шаблон VDI (например, Windows 7), настройте систему в соответствии с вашими требованиями (или требованиями клиентов) и установите плагин для удаленных рабочих столов ESET Secure Authentication (ESA) - см. раздел по установке в руководстве по продукту.
Перед выполнением sysprep необходимо выполнить 2 важных шага:
- Установите зависимость запуска службы удаленных рабочих столов только в том случае, если служба ESA Credential Proxy Services запущена.
Для этого нажмите комбинацию клавиш Windows + R и в диалоговом окне "Выполнить" введите (или скопируйте и вставьте) следующую команду и нажмите Enter:sc config TermService depend= EsaCpProxy/RpcSs - Установите службу ESA Credential Proxy Services для запуска под учетной записью домена (т. е. учетной записью администратора домена), выполнив следующую команду в диалоговом окне "Выполнить ":
sc config EsaCpProxy obj="domain\username" password="password"
domain\username должно быть заменено доменным именем вашего домена Active Directory и именем пользователя домена. Аналогично, пароль должен быть заменен на пароль конкретного пользователя домена.
В нашем примере мы выполнили следующий код:
sc config EsaCpProxy obj="acswin2012\administrator" password="demo1234"
В качестве меры предосторожности можно настроить автоматический перезапуск службы ESA Credential Provider Proxy Services (EsaCpProxy) в случае сбоя. Для этого нужно выполнить следующую команду в диалоговом окне "Выполнить":
sc failure EsaCpProxy actions= restart/60000/restart /60000// reset= 120Эта команда обеспечит перезапуск службы EsaCpProxy через 60 секунд в случае сбоя.
Если изменения, сделанные в шагах No. 1 и 2 были успешными, вы можете просмотреть соответствующие службы в списке Службы:
- Нажмите сочетание клавиш Ctrl + Shift + Esc, чтобы открыть Диспетчер задач Windows
- Переключитесь на вкладку "Службы" и нажмите кнопку "Службы... " в правом нижнем углу, чтобы открыть окно "Службы "
- Найдите службу ESA Credential Provider Proxy Services, дважды щелкните на ней и переключитесь на вкладку Log On - там вы увидите выбранную опцию This account и имя пользователя домена, которое вы использовали в сценарии в шаге № 2 выше.
Рисунок 1-1
Нажмите на изображение, чтобы посмотреть его в большем размере
- Найдите службу Remote Desktop Services, дважды щелкните на ней и переключитесь на вкладку Dependencies (Зависимости ) - там вы увидите список ESA Credential Provider Proxy Services .
Рисунок 1-2
Нажмите на изображение, чтобы посмотреть больше
