É importante falarmos sobre alguns pontos que consideramos válidos (a serem configurados ou bloqueados) num servidor de TS. Usar um servidor de conexão remota é muito útil para resolver vários problemas que aparecem no dia a dia de uma equipe de TI, como conectar para manutenção mesmo sem ter uma VPN, liberar programas (como de imposto de renda) para alguns usuários, entre outros. Mas alguns aspectos devem ser levados em conta.
As principais considerações que sempre fazemos são:
- Você sabe o custo de licenciamento do seu servidor RDP e (se essa não é a melhor solução) do custo da solução definitiva? Já vimos um servidor criado para empresas externas conectarem e depois utilizarem uma ferramenta gratuíta de suporte remoto nos desktops sendo que o custo final dessa solução ser maior que o licenciamento de um TeamViewer.
- Esse servidor é necessário? Se o servidor TS é apenas para executar um programa, pode ser feito um pacote MSI e instalado nos computadores por GPO (por exemplo).
- Se os usuários vão conectar, esse servidor deve estar em qual rede? As empresas investemem meios de proteger seus servidores a fim de evitar vários riscos, mas se os usuários acessarem a rede um servidor RDP que está na rede de servidores, uma boa parte do trabalho de segurança foi “buraco a baixo”.
- Esse servidor precisa de internet? Muitas empresas permitem os servidores navegarem na internet (o que deve ser revisto), esse servidor possívelmente ficará mais seguro se não puder abrir sites externos.
Além dessas considerações, recomendamos:
- Se possível, utilize RemoteApp: Em vez de permitir que os usuários se conectem e tenham acesso em todo o computador, crie um remoteapp (é bem simples, na verdade) para que os usuários abram apenas os programas que precisam.
- Não divulgue as informações de conexão para os usuários criarem suas próprias conexões. Ao invés disso, considere criar uma conexão, configurá-la corretamente (sem os recursos que não serão usados, já apontando para a aplicação se possível), salvar o .rdp e disponibilizar o link em sua intranet.
- Desabilite no servidor todos os mapeamentos/redirecionamentos RDP não necessários (em caso de dúvida se é necessário, deixe desabilitador no ínicio), como Mapear as impressoras do cliente, Mapear os discos do Cliente, Mapear as portas, etc.
- Crie um drive apenas para armazenar os profiles.
- Retire o acesso ao drive C. Via registro é possível que os discos não apareçam no explorer, assim os usuários não gravam dados temporários desnecessários.
Se precisar de algum apoio, nos mande um email que lhe ajudaremos no que pudermos.
Mais Informações
Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.
Entre em contato conosco pelo e-mail equipe@nvlan.com.br.