Настройка Windows Server 2016 с помощью GPO

Цель данной статьи — тонкая настройка терминального сервера. Все скриншоты будут соответствовать версии Windows Server 2016. В результате такой настройки вы сможете повысить безопасность сервера и ограничить права терминальных пользователей.

Процесс установки MS SQL Server

Этап «Роль установки»

На данном этапе необходимо выбрать «Установка компонентов SQL Server»

Роль установки

Этап «Выбор компонентов»

Здесь нам необходимо, как минимум, выбрать указанные в изображении пункты: «Службы компонента Database Engine», «Средства связи клиентских средств», «Обратная совместимость клиентских средств», «Компоненты документации», «Средства управления — основные» и «Средства управления — полный набор»

Выбор компонент SQL Server

Этап «Настройка экземпляра»

В настройках можно оставить «Экземпляр по умолчанию» или же выбрать «Именованный экземпляр» и задать имя и идентификатор экземпляра, но особой необходимости в этом нет. Поскольку, к именованному экземпляру обращение происходит посредством строки вида: ServerSQL\InstanceID — необходимо выбирать понятный и короткий идентификатор экземпляра.

Настройка экземпляра

Этап «Конфигурация сервера»

На вкладке «Учетные записи служб» желательно сразу указать автоматический запуск агента SQL Server для того чтобы в дальнейшем не было проблем при настройке планов обслуживания. Если устанавливается именованный экземпляр, режим запуска службы «Обозреватель SQL Server» так же должен быть установлен в режим «авто». На вкладке «Параметры сортировки» необходимо убедиться что стоит «Cyrillic_General_CI_AS», в противном случае, выбрать данный вариант.

Учетные записи службПараметры сортировки

Этап «Настройка компонента Database Engine»

На вкладке «Конфигурация сервера» рекомендуется выбирать «Смешанный режим» проверки подлинности. В поле ввода пароля указать пароль для учетной записи администратора. Дополнительно к этому, стоит назначить администраторов из числа пользователей операционной системы.

Читайте также:  Econnrefused соединение отклонено сервером filezilla

Настройка компонента Database Engine

Следующим этапом будет указание каталога данных на одноименной странице. Здесь есть свои рекомендации:

  1. Расположение файлов базы данных и журнала транзакций надо разнести на разные физические диски. Это обеспечит дополнительную надежность данных, т.к. в случае выхода из строя одного из дисков останется возможность восстановления базы данных (восстановление базы данных до актуального состояния по резервной копии и логу транзакций, в случае выхода диска с файлом БД).
  2. Вынести базу tempdb на отдельный физический диск. Это увеличит производительность, т.к. SQL Server постоянно работает с данной системной базой, создавая нагрузку на диск. Например, SQL Server использует tempdp для хранения временных таблиц.
  3. Выбрать отдельный диск или ресурс в локальной сети для хранения резервных копий. Данная рекомендация опять же обеспечивает дополнительную надежность.

Выбор каталогов данных

Выполнив последующие этапы установки, которые не должны вызвать вопросов, будет установлен MS SQL Server, после чего стоит выполнить еще несколько рекомендаций по настройке системы, приведенных ниже.

Запрещаем доступ к командной строке и PowerShell

Окно Выполнить используют самые начинающие пользователи. Продвинутые пользователи используют или командную строку, или PowerShell. Запретить пользователям использовать командную строку можно, проведя настройку групповой политики Конфигурация пользователя, Административные шаблоны, Система, Запретить использование командной строки (рис. 4). Также включите опцию Запретить также обработку сценариев в командной строке, чтобы нельзя было запускать сценарии командной строки.

Рис. 4. Запрещаем использование командной строки в Windows Server

Отдельной групповой политики, запрещающей запуск PowerShell, нет, но есть групповая политика, запрещающая запуск определенных приложений. Она называется Не запускать указанные приложения Windows и находится все в том же разделе Система. Включите ее и запретите запуск and powershell_ (рис. 5).

Рис. 5. Запрет запуска PowerShell

Также, пока вы еще не «ушли» из раздела Система, неплохо было бы запретить запуск редактора реестра. Для этого включите Запретить доступ к средствам редактирования реестра.

Читайте также:  Как пользователям получить «Microsoft Office» бесплатно?

PowerShell ISE

Интегрированная среда сценариев Windows PowerShell (ISE) является хост-приложением для Windows PowerShell. В Windows PowerShell ISE вы можете запускать команды и писать, тестировать и отлаживать сценарии в одном графическом пользовательском интерфейсе на основе Windows с многострочным редактированием, завершением табуляции, окраской синтаксиса, выборочным выполнением, контекстно-зависимой справкой и поддержкой прав на языки.

Вы можете использовать пункты меню и сочетания клавиш для выполнения многих тех же задач, которые вы выполняли бы в консоли Windows PowerShell. Например, при отладке сценария в Windows PowerShell ISE для установки точки останова строки в скрипте щелкните правой кнопкой мыши строку кода и выберите « Переключить точку останова» .

Чтобы открыть его, просто зайдите в Пуск — Поиск, а затем введите — PowerShell, как показано на следующем снимке экрана.

Затем нажмите на Windows PowerShell ISE. Или нажмите стрелку вниз, как показано на следующем снимке экрана.

В нем будут перечислены все приложения, установленные на сервере, а затем щелкните Windows PowerShell ISE.

Следующая таблица будет открыта —

Он состоит из трех разделов: консоль PowerShell с номером 1, затем файл сценариев № 2, а третий — это командный модуль, в котором вы можете найти модуль.

При создании сценария вы можете запустить напрямую и увидеть результат, как в следующем примере —

 Подготовка к установке и настройки Directaccess сервера

И так, пожалуй, начнем настройку сервера, отведенного под Directaccess, с конфигурирования сетевых интерфейсов.

Сетевые интерфейсы на Directaccess сервере

На скриншоте видно, что сервер обладает 2-я сетевыми интерфейсами. Для удобства я их переименовал в LAN и WAN.

Читайте также:  2 способа записать видео с экрана компьютера Windows 10 со звуком

Настройка внутренего сетевого интерфейса

 Подготовка к установке и настройки Directaccess сервера

В настройках LAN интерфейса, смотрящего в сеть периметра необходимо настроить IPv4 адрес, маску подсети, а также DNS сервера. Так как это пограничный сервер на нем должен быть только один шлюз по умолчанию и прописан на внешнем интерфейсе. Если же сеть периметра многосегментная и скажем, что каждый сегмент обладает маской подсети /24, необходимо будет создать новые статические маршруты в таблице маршрутизации сервера. Для этого стоит воспользоваться следующим выражением:

Route add –p mask

где  — удаленная подсеть,  — ее маска и  маршрутизатор на который будут адресованы пакеты в удаленную подсеть. Ключ –p создаст постоянный маршрут в таблице маршрутизации и конфигурация сохранится после перезагрузки сервера. Для того чтобы посмотреть текущею таблицу маршрутизации сервера необходимо использовать следующее выражение:

Route print

Настройка внешнего сетевого интерфейса

 Подготовка к установке и настройки Directaccess сервера

В настройках внешнего сетевого интерфейса были отключены все ненужные службы. Этот шаг поможет минимизировать возможную площадь атаки.

Дополнительная настройка внешнего сетевого интерфейса

 Подготовка к установке и настройки Directaccess сервера

На внешнем интерфейсе необходимо настроить IPv4 адрес, маску подсети, а также шлюз по умолчанию. DNS сервера настраивать не нужно.

Добавление дополнительного сетевого адреса и маски подсети

 Подготовка к установке и настройки Directaccess сервера

Открыв дополнительные настройки необходимо задать второй IPv4 адрес и маску подсети.

Настройка дополнительной конфигурации DNS сетевого интерфейса

 Подготовка к установке и настройки Directaccess сервера

Во вкладке DNS снимаем чек-бокс, а также задаем DNS суффикс.

Настройка дополнительной конфигурации WINS сетевого интерфейса

 Подготовка к установке и настройки Directaccess сервера

Далее в настройках WINS необходимо отключить LMHOST, а также NetBIOS.

Дополнительные настройки сети

 Подготовка к установке и настройки Directaccess сервера

Далее, в окне сетевых настроек необходимо зажать «Alt» и появится меню. В нем, во вкладке дополнительно, необходимо выбрать дополнительные настройки.

Настройка приоритетов сетевых интерфейсов

 Подготовка к установке и настройки Directaccess сервера

В дополнительных настройках меняем приоритет выставив первым приоритет локального сетевого интерфейса.