現在、VPN 経由で会社のリモート デスクトップ アクセスをロックダウンしています。必要なのは、アクセスされるワークステーションの Active Directory 経由のリモート印刷、ファイル転送、クリップボードを無効にすることです。これを制限するためにどの GPO が使用されているかがわからず困っています。
私の基本的なアプローチは、VPN ユーザーをポート 3389 に制限して、リモートから仕事用コンピューターにアクセスできるようにし、それ以外はアクセスできないようにすることです (レイヤー 7 スキャンについては後で説明します)。これにより、ファイル、印刷、またはクリップボード経由でデータを転送できないようにしたいと考えています。
環境はWindows Server 2003です
答え1
したがって、お客様の要件を理解しているのであれば、VPN を設定して、ユーザーが接続すると、作業を行うためにデスクトップへの MS RDP に使用される 3389 以外のすべてのトラフィックを制限するファイアウォールの背後にいることになります。また、ユーザーが仕事用の PC から外部プリンターに印刷することを制限し、RDP セッション クリップボード経由で切り取りと貼り付けを行ったり、PC からファイルを転送したりできないようにする必要があります。
これをポリシー設定だけでなくネットワークの観点からも検討する必要があると思います。
ポリシーを作成し、GPO コンピューター設定「管理用テンプレート\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト\LPT ポートのリダイレクトを許可しない」で LPT ポートのリダイレクトを禁止できます。同じ場所でクリップボードを構成することもできます。
その PC から別の場所にファイルを転送する場合、ネットワーク層でプロトコルを制限して、SMB、HTTP、HTTPS、FTP などが内部ネットワークから外部のどこかに転送されるのを防ぐ必要があります。これがすでに実施されている場合は、RDP に関連するものによって変更されることはありません。私の知る限り、RDP 経由のファイルの切り取りと貼り付けはサポートされていません。
デスクトップから電子メールへのアクセスを許可した場合、電子メール サーバーでブロックしない限り、ファイルなどをいつでも電子メールで送信できることに留意してください。
答え2
2008サーバーを追加してリモートデスクトップゲートウェイを設定することを検討しましたか?リモートデスクトップゲートウェイポリシーでは、デバイスのリダイレクトを無効にする。
リモート デスクトップ ゲートウェイを使用すると、ユーザーは VPN クライアントを必要とせず、ワークステーションに対して何もする必要もありません。
答え3
VPN は RDP に接続する前に確立される必要があるため、RDP はインターネットに公開されず、RDP のポートの使用について心配する必要はありません。
gpmc内のgpo設定に関しては
コンピューター/管理テンプレート/Windows コンポーネント/ターミナル サービスなど...