Ich habe einen Windows 2008 R2-Server, der vertrauliche Dokumente in einem kleinen LAN enthalten soll. Die beiden Benutzer, die den Server verwenden, tun dies über RDP, sodass keine Dokumente auf Client-Arbeitsstationen übertragen werden. Während einer Due-Diligence-Prüfung habe ich festgestellt, dass zahlreiche in Windows integrierte Dienste und geplante Aufgaben nach Hause telefonieren und möglicherweise Daten verlieren können.
Ich möchte dies, wenn möglich, auf Serverebene bei allen integrierten Diensten verhindern.
Ich habe leider keine Kontrolle über die Firewall im LAN, da es sich um eine vorgefertigte, ferngewartete Firewall mit einem langfristigen Vertrag handelt. Die Kontrolle darüber wäre auch nutzlos, da ausgehendes HTTP für zwei RDP-Benutzer auf dem Computer erforderlich ist.
Patches werden per PowerShell von einer Workstation auf den Rechner übertragen. Windows Update ist bereits deaktiviert.
Ich habe die Windows-Firewall in Betracht gezogen, vertraue ihren Konfigurationstools jedoch nicht hundertprozentig und weiß, dass einige Dienste zur Laufzeit Ausnahmen zu den Regeln hinzufügen können.
Welche Lösungen stehen zur Behebung dieses Problems zur Verfügung und gibt es eine Dokumentation darüber, was möglicherweise über die Leitung läuft, oder handelt es sich hierbei um eine Reverse-Engineering-Aufgabe?
Jede Hilfe ist willkommen!
Antwort1
Der einfachste Weg, dies zu tun, ist dies durchGruppenrichtlinieMithilfe von Gruppenrichtlinien können Sie festlegennicht überschreibbare Firewall-Regelnalle ausgehenden Verbindungen zu blockieren, sofern sie nicht zu einer expliziten Zulassungsliste hinzugefügt werden, zu der nur Benutzer mit Domänenadministratoren etwas hinzufügen können. Wenn die gesamte Software auf dem Server als lokaler Administrator oder niedriger ausgeführt wird, können sie die Gruppenrichtlinienregeln nicht außer Kraft setzen (und selbst wenn sie eine Möglichkeit hätten, sie zu ändern, ist die Überprüfung der resultierenden Firewallregeln unter Windows sehr einfach zu prüfen).
Wenn Sie weitere Informationen zum Einrichten von Firewall-Regeln über die Gruppenrichtlinie benötigen, kann ich versuchen, weitere Informationen hinzuzufügen.
Ich sagte, das ist der einfachste Weg, es gibt feinere Kontrollen, wo SieDeaktivieren Sie alle Windows-spezifischen Funktionendie den Internetzugang nutzen.