Назад | Перейти на главную страницу

Блокировка удаленного рабочего стола с помощью AD GPO

В настоящее время я блокирую доступ к удаленному рабочему столу компании через VPN. Что мне нужно сделать, так это отключить удаленную печать, передачу файлов и буфер обмена через активный каталог для рабочих станций, к которым будет осуществляться доступ. Мне сложно определить, какие объекты групповой политики используются для ограничения этого.

Мой основной подход заключается в том, чтобы ограничить пользователей VPN портом 3389, чтобы они могли получить доступ к своим рабочим компьютерам удаленно, но не более того (позже я рассмотрю сканирование уровня 7). При этом я хочу убедиться, что они не могут передавать данные через файлы, печать или буфер обмена.

Среда - Windows Server 2003

Итак, если я понимаю ваши требования, у вас есть настройка VPN, поэтому при подключении пользователей они находятся за брандмауэром, который ограничивает весь трафик, за исключением 3389, который используется для MS RDP на их рабочих столах для выполнения своей работы. Вы также хотите ограничить пользователям возможность печати со своих рабочих ПК на любые внешние принтеры, запретить им вырезать и вставлять через буфер обмена сеанса RDP и передавать файлы со своих ПК.

Я думаю, вам нужно посмотреть на это с точки зрения сети, а также с точки зрения настроек политики.

Вы можете создать политику и запретить перенаправление порта LPT в параметре компьютера GPO «Административные шаблоны \ Компоненты Windows \ Службы удаленного рабочего стола \ Узел сеанса удаленного рабочего стола \ Перенаправление устройств и ресурсов \ Не разрешать перенаправление порта LPT». Вы также можете настроить буфер обмена в том же месте.

Что касается передачи файлов с этого ПК в другое место, вам придется ограничить протоколы на сетевом уровне, чтобы предотвратить передачу SMB, HTTP, HTTPS, FTP и т. Д. Из вашей внутренней сети во внешнюю сеть. Если это уже сделано, то ничего, связанное с RDP, не должно изменить этого. AFAIK, вырезка и вставка файлов через RDP не поддерживается.

Помните, что если вы разрешите им доступ к электронной почте со своего рабочего стола, они всегда смогут отправлять файлы и тому подобное, если вы не заблокируете их на почтовом сервере.

Задумывались ли вы о добавлении сервера 2008 года и настройке шлюза удаленных рабочих столов? В политике шлюза удаленных рабочих столов вы можете отключить перенаправление устройств.

Со шлюзом удаленного рабочего стола пользователям не понадобится VPN-клиент, и вам не придется ничего делать с рабочими станциями.

VPN должен быть установлен до подключения к rdp, поэтому rdp не должен быть доступен в Интернете, поэтому вам не нужно беспокоиться об использовании порта rdp.

насколько настройки gpo смотрите в gpmc

компьютер / шаблоны администратора / компоненты Windows / службы терминалов и т. д.