私は、小規模な LAN 上に機密文書を格納する Windows 2008 R2 サーバーを持っています。サーバーを使用する 2 人のユーザーは RDP 経由で使用しているため、文書はクライアント ワークステーションに転送されません。デューデリジェンス作業中に、Windows に組み込まれている多数のサービスとスケジュールされたタスクがホームにアクセスして、データが漏洩する可能性があることが判明しました。
可能であれば、サーバー レベルでこれらの組み込みサービスがそのような動作を行わないようにしたいと思います。
残念ながら、LAN 上のファイアウォールは、長期契約によるリモート管理の既成のものなので、制御できません。マシン上の 2 人の RDP ユーザーにはアウトバウンド HTTP が必要なので、これを制御しても役に立ちません。
パッチはワークステーションから PowerShell 経由でマシンにプッシュされます。Windows アップデートはすでにオフになっています。
Windows ファイアウォールを検討しましたが、その構成ツールを 100% 信頼しているわけではなく、一部のサービスでは実行時にルールに例外が追加される可能性があることもわかっています。
この問題を解決するために利用できる解決策は何ですか? また、ネットワーク上で何が送信される可能性があるかについてのドキュメントはありますか? それとも、これはリバース エンジニアリングの仕事ですか?
ご協力いただければ幸いです。
答え1
最も簡単な方法は、グループポリシーグループポリシーを使用すると、上書きできないファイアウォールルールドメイン管理者ユーザーのみが追加できる明示的な許可リストに追加されない限り、すべての発信接続をブロックします。サーバー上のすべてのソフトウェアがローカル管理者またはそれ以下の権限で実行されている場合、グループ ポリシー ルールを上書きすることはできません (変更する方法があったとしても、結果として得られるファイアウォール ルールを確認することは、Windows では非常に簡単に監査できます)。
グループ ポリシーを使用してファイアウォール ルールを設定する方法についてさらに情報が必要な場合は、さらに情報を追加してみます。
私はそれが最も簡単な方法だと言いましたが、より細かい制御が可能で各ウィンドウ固有の機能をオフにするインターネットアクセスを使用するもの。