См. предложение/код Ben Adida по "Облегченному SessionLock". Это по общему признанию не предлагает защиты от активных атак или подслушивания и уязвимо для недолгих нападений. Но это могло бы помочь в непосредственном термине при разработке реального решения SSL: http://benlog.com/articles/2010/10/25/keep-your-hands-off-my-session-cookies/
Получите лицензию Software Assurance для 300 компьютеров, установите Windows Thin PC. Используйте GPO для настройки:
Установите в оболочке пользователя сценарий в папке netlogon
:
Установите shell = CreateObject ("WScript.Shell")
shell.Run "mstsc.exe / multimon \\ yourdomain \ netlogon \ term_serv.rdp", 1, true
shell.Run "logoff"
Возможно, вы захотите настроить некоторые другие базовые параметры безопасности, например отказ от локального кэширования учетных данных. Настройка фильтра записи также является хорошей идеей (тогда WinTPC не нуждается в антивирусной программе и не может сохранить вирус). Не забудьте подписать файл RDP с помощью rdpsign
.
Мы используем как старые ПК, так и HP ThinClients для выполнения вышеуказанной конфигурации.
Лицензирование сервера терминалов необходимо, и, к сожалению, это запрещенная тема, поскольку специфика каждой компании уникальна, вам действительно нужно связаться с реселлером MS, который может провести вас через весь процесс (клиентские лицензии TS CAL стоят около 100 долларов на пользователя в последний раз; лицензирование IIRC на устройство было немного дороже).
Запуск фермы терминальных серверов для 300 клиентов не совсем тривиальный. В зависимости от ваших потребностей это может быть немного дешевле, чем покупка 300 новых настольных компьютеров (в среднем за 3-4 года); или в неправильных ситуациях может стоить в несколько раз дороже (на самом деле зависит от того, насколько похожи конфигурации вашего рабочего стола и сколько CPU / RAM / GPU требуется каждому пользователю - в целом более низкие требования подходят TS / VDI лучше, чем высокие требования).
WinPE лицензирован только для установки и обслуживания. Хотя mstsc.exe
можно привить к нему, вам не разрешается использовать его в «производственных» целях. Кроме того, сложность установки драйверов, изменения большинства настроек (например, разрешения монитора) и отсутствие поддержки Wi-Fi или ускорения графики (в частности, функций RemoteFX) затрудняют работу внутри.
WinPE лицензирован строго только для установки и обслуживания. Хотя mstsc.exe
можно привить к нему, вам не разрешается использовать его в «производственных» целях. Кроме того, сложность установки драйверов, изменения большинства настроек (например, разрешения монитора) и отсутствие поддержки Wi-Fi или ускорения графики (особенно функций RemoteFX) затрудняют работу внутри.
WinPE лицензирован строго только для установки и обслуживания. Хотя mstsc.exe
можно привить к нему, вам не разрешается использовать его в «производственных» целях. Кроме того, сложность установки драйверов, изменения большинства настроек (например, разрешения монитора) и отсутствие поддержки Wi-Fi или ускорения графики (в частности, функций RemoteFX) затрудняют работу внутри.