远程访问 - 根据客户端限制可访问的用户帐户

远程访问 - 根据客户端限制可访问的用户帐户

我在网上找到了无数资源,很好地解释了如何根据尝试登录的用户来限制对计算机的访问。但这无法控制使用哪个帐户登录本地计算机以及在该计算机上执行哪些操作。这个事实引发了一些安全问题。目前的
情况是,我们在 IPC(工业 PC)上安装了只允许监控的软件,但也有允许改变所提供机器可用性的服务软件。由于我们目前无法确保只使用某个帐户或应用程序,因为我们必须通过客户端提供的远程访问门户/终端服务器登录,所以每次我们想要监控系统时,我们都必须申请工作许可证,即使只是传输记录器数据。由于这台特定的机器在海外,因此安装另一台 IPC 是不可能的,因此我们希望通过软件方式解决这个问题。

我们希望实现的是:

  1. 当地的每个 IPC 的用户帐户
    有些帐户只允许使用只读软件,例如监控软件。其他帐户允许使用更多功能软件,甚至可能关闭机器的程序包。
    我们认为,使用不同的帐户是最可行的方法,否则本地第三方软件必须通过 Windows 策略设置权限。

  2. 控制可以使用哪些帐户
    哪个本地用户帐户(或处于活动状态的策略设置)仅取决于远程访问请求来自何处

  3. 本地访问管理服务器
    目前没有任何中央 AD 控制器等,但如果有必要,可以有一个访问主服务器,例如RD 网关服务器或者BOMGAR 特权访问管理访问权限
  4. 隔离操作
    我们的设备处于隔离网络中,该网络位于客户端网络后面。最棘手的一点是识别谁在请求访问我们的隔离网络。到目前为止,我们提出了以下想法:

    1. 客户端网络告诉我们的网络使用了哪个帐户,但这需要单独澄清沟通。
    2. 我们的网络读取客户端 IP 并确定它是读取还是写入访问权限。客户端必须确保至少有两台不同的机器访问我们的网络。一个用于读取/永久访问帐户,其他用于提升帐户,这可能需要客户端的额外访问批准
    3. 如果您无法阻止以管理员身份登录主服务器,则管理员帐户必须由客户端进行管理。

到目前为止我发现的最接近的解决方案是关于超级用户的这个问题: 使用 TeamViewer 仅登录一个用户帐户但距离我们的要求还有很大差距。

我画了一张图来展示这一切,希望有所帮助 高级远程访问架构.png

相关内容