Обратите внимание!
Начиная с версии 4.5 и для всех последующих, механизм запрета работы в режиме Remote Desktop был изменен! Изменения касаются инструментов интеграции лицензирования и защиты кода из состава Guardant SLK, а также системы лицензирования Guardant Station.
Общее описание
Механизм запрета работы в режиме Remote Desktop (запрет RDP) — это настройка лицензии, которая разрешает или запрещает конечным пользователям работать с защищенным приложением вендора внутри RDP-сеансов.
Remote Desktop Protocol — протокол удаленного рабочего стола, который позволяет к одному компьютеру (сервер с настроенной ролью RemoteAccess) одновременно подключать несколько пользователей для параллельной работы с приложениями, установленными на данном компьютере. Так каждый пользователь при помощи своей учетной записи может запустить изолированный от других сеанс удаленной работы (RDP) и использовать защищенное приложение вендора. Если защищенное приложение использует локальную лицензию, рассчитанную на одного единовременного пользователя, то без включенного запрета при помощи RDP с такой лицензией все пользователи сервера удаленного доступа смогут одновременно работать с защищенным приложением вендора.
Сетевые лицензии не подвержены данному риску.
Опция защиты от RDP всегда присутствовала и могла быть активирована вендором при конфигурировании лицензируемых им компонентов, но до выхода Guardant SLK\Station версии 4.5 эта опция работала по-разному для программных и аппаратных ключей Guardant (см. таблицу 1). Чтобы поведение защищенных приложений было предсказуемым и понятным для их разработчиков и конечных пользователей, мы обновили и доработали логику данного механизма, без потери уникальной возможности аппаратных ключей Guardant контролировать количество локально запущенных копий защищенных приложений при помощи механизма выработки сессионных ключей.
Таблица 1. Сравнение работы механизма защиты от RDP. Сценарий проверки компонента с запретом на RDP при старте защищенного приложения
| Версия SLK | Программный ключ | Аппаратный ключ |
|---|---|---|
Младше 4.5 | В RDP запрещен запуск защищенного приложения. | В RDP можно запустить защищенное приложение, но только один экземпляр. Запуск каждого нового экземпляра приводит к остановке ранее запущенного. |
| Равна или старше 4.5 | В RDP запрещен запуск защищенного приложения. |
Что изменится после обновления на версию 4.5 или выше
Ранее настройка «Работа в режиме Remote Desktop» (настраивается в Guardant Station при конфигурировании компонентов в продуктах) отвечала за применение двух технически различных механизмов, а именно:
- "Определение RDP-сеансов" при работе с программными ключами Guardant DL — запрещает работу с компонентом, если защищенное приложение запущено в RDP-сеансе.
- Выработка сессионных ключей — когда аппаратный ключ Guardant предоставляет эксклюзивный доступ к компоненту только для одного локального процесса защищенного компонента. Не привязана конкретно к RDP, то есть при включении работает всегда с локальными лицензиями.
То есть данная настройка активировала два этих механизма, а поведение защищенного приложения зависело от того, какой именно ключ Guardant используется в качестве носителя лицензии (программный или аппаратный).
Теперь для каждого из этих механизмов применяется отдельная настройка в компонентах, а именно:
Настройка «Работа в режиме Remote Desktop» — соответствует технологии «Определение RDP-сеансов».
- Настройка «Монопольный режим» — соответствует технологии «Выработка сессионных ключей».
Guardant Station
Для всех компонентов добавится настройка «Монопольный режим». Управлять этой настройкой можно при создании и настройке продуктов или их модификаций, а также при создании заказов на отгрузку лицензий или на их обновление.
В уже существующих продуктах текущее состояние этой настройки будет определяться тем, как ранее была настроена функция «Работа в режиме Remote Desktop» для конкретного компонента в конкретном продукте до того, как было установлено обновление для Guardant Station:
Таблица 2. Состояние настроек после установки обновления Guardant Station версии 4.5 и выше
| Настройка | Состояние | |
|---|---|---|
| До обновления Guardant Station | ||
| Работа в режиме Remote Desktop | разрешена | запрещена |
| После обновления Guardant Station | ||
| Работа в режиме Remote Desktop | запрещена | запрещена |
| Монопольный режим | отключен | включен |
На скриншотах ниже пример конвертации стандартных настроек компонентов, применяемых системой лицензирования «по-умолчанию» при создании новых продуктов.
До обновления
После обновления
Важно!
Для программных ключей Guardant DL включенный монопольный режим означает запрет на работу в режиме Remote Desktop и функционирует точно так же, как и одноименная настройка. Это позволяет сохранить обратную совместимость с ранее выпущенными лицензиями в предыдущих версиях системы лицензирования Guardant Station.
Так при конфигурации компонентов, как на скриншотах выше, в работе защищенных приложений поведение при работе в RDP-сеансах не поменяется, то есть с программными и аппаратными ключами реакция на запрет RDP будет разная.
Чтобы защищенное приложение вендора, при работе с аппаратными ключами Guardant, при включенном ограничении, реагировало на работу в RDP-сеансе так же, как при использовании программных ключей Guardant DL, необходимо соблюсти следующие условия:
- Кроме системы лицензирования обновлено и защищенное приложение (подробнее см. ниже по тексту);
- Для всех компонентов, где это требуется, включен запрет на работу в режиме Remote Desktop:
- При помощи создания модификаций продуктов через графический интерфейс системы лицензирования или REST API.
- Вендоры, использующие отчуждаемую систему лицензирования Guardant Station, могут применить специальный скрипт для БД, чтобы автоматизированно включить данный запрет во всех нужных продуктах и компонентах.
- У конечных пользователей в аппаратных ключах записаны лицензии с новыми настройками компонентов:
- Вендор записывает лицензии в новые ключи при отгрузке.
- Вендор обновляет уже отгруженные ранее ключи удаленно.
Защищенное приложение
Для правильной обработки новых настроек лицензии вендорам рекомендуется (но не требуется) обновить свои приложения с применением инструментов интеграции лицензирования и защиты кода из состава Guardant SLK версии 4.5 и выше.
Важно!
Даже после обновления системы лицензирования Guardant Station приложения, собранные и защищенные с применением инструментов из Guardant SLK версии ниже, чем 4.5, смогут работать без изменения поведения.
Однако обновленные защищенные приложения могут реагировать на новые настройки компонентов иначе, а именно:
Guardant Protection Studio
Приложения, защищенные новой версией протектора Guardant Protection Studio, будут реагировать на новые настройки согласно описанию из Таблицы 1.
Guardant Licensing API
Таблица 3. Изменение кодов возврата GrdFeatureLogin при проверке новых настроек в случае работы через RDP
| Тип ключа Guardant | Работа в режиме Remote Desktop | Монопольный режим |
|---|---|---|
| До обновления Guardant Station | ||
| Программный | GRD_REMOTE_DESKTOP_DETECTED | неприменимо |
| Аппаратный | GRD_OUTDATED_SESSION_DETECTED | неприменимо |
| После обновления Guardant Station | ||
| Программный | GRD_REMOTE_DESKTOP_DETECTED | неприменимо |
| Аппаратный | GRD_OUTDATED_SESSION_DETECTED | |
