У нас много серверов под управлением Windows 2008 R2 (RDS / Citrix). Мы делаем все возможное, чтобы заблокировать удаленный рабочий стол и опубликованные приложения.
Недавно один из моих коллег показал мне, как он может использовать 7-zip для просмотра нашей сети (с простой учетной записью пользователя). На самом деле, это то, что я никогда не мог использовать для этого (я редко проверяю такие «маленькие» приложения и прикладываю все свои усилия к «более важным приложениям», таким как Office Suite, SQL-клиент и т. Д.).
После повторной проверки выясняется, что пользователи, подключающиеся к своему удаленному рабочему столу, могут использовать 7-zip для просмотра сети и доступа к файлам и папкам на серверах. К счастью, они не могут открывать файлы, удалять или перемещать их, но все же я хочу найти способ отключить это.
Я не нашел много документов или руководств для этой цели, и, поскольку я не могу отключить эту функцию с помощью GPO (я бы хотел, чтобы мы могли сохранить 7-Zip и не использовать другие приложения), может ли кто-нибудь оказать мне некоторую помощь?
Похоже, вам просто нужно настроить Access-based Enumeration.
Перечисление на основе доступа отображает только те файлы и папки, к которым у пользователя есть разрешения на доступ. Если у пользователя нет разрешений на чтение (или аналогичных) для папки, Windows скрывает эту папку из поля зрения пользователя. Эта функция активна только при просмотре файлов и папок в общей папке; он не активен при просмотре файлов и папок в локальной файловой системе.
Вот Технет статья это входит в некоторые детали.