Ich sperre derzeit den Remote-Desktop-Zugriff eines Unternehmens über ein VPN. Dazu muss ich Remote-Druck, Dateiübertragung und Zwischenablage über Active Directory für die Arbeitsstationen deaktivieren, auf die zugegriffen wird. Ich habe Probleme herauszufinden, welche GPOs verwendet werden, um dies einzuschränken.
Mein grundlegender Ansatz besteht darin, VPN-Benutzer auf Port 3389 zu beschränken, sodass sie remote auf ihre Arbeitscomputer zugreifen können, aber sonst nichts (ich werde mir später das Layer-7-Scannen ansehen). Damit möchte ich sicherstellen, dass sie keine Daten über Dateien, Drucken oder die Zwischenablage übertragen können.
Die Umgebung ist Windows Server 2003
Antwort1
Wenn ich Ihre Anforderungen richtig verstehe, haben Sie das VPN so eingerichtet, dass sich Benutzer bei der Verbindung hinter einer Firewall befinden, die den gesamten Datenverkehr mit Ausnahme von 3389 einschränkt, der für MS RDP zu ihren Desktops verwendet wird, damit sie ihre Arbeit erledigen können. Sie möchten Benutzer auch daran hindern, von ihren Arbeits-PCs auf externen Druckern zu drucken, sie daran hindern, über die Zwischenablage der RDP-Sitzung auszuschneiden und einzufügen und Dateien von ihren PCs zu übertragen.
Ich denke, Sie müssen dies sowohl aus der Netzwerkperspektive als auch aus der Perspektive der Richtlinieneinstellungen betrachten.
Sie können eine Richtlinie erstellen und die LPT-Portumleitung unter der GPO-Computereinstellung „Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Geräte- und Ressourcenumleitung\LPT-Portumleitung nicht zulassen“ verhindern. Sie können auch die Zwischenablage am selben Speicherort konfigurieren.
Um Dateien von diesem PC an einen anderen Ort zu übertragen, müssen Sie Protokolle auf Netzwerkebene einschränken, um zu verhindern, dass SMB, HTTP, HTTPS, FTP usw. von Ihrem internen Netzwerk an einen externen Ort übertragen werden. Wenn dies bereits vorhanden ist, sollte sich nichts im Zusammenhang mit RDP daran ändern. Soweit ich weiß, wird das Ausschneiden und Einfügen von Dateien über RDP nicht unterstützt.
Bedenken Sie, dass Ihre Kunden, wenn Sie ihnen den Zugriff auf ihre E-Mails von ihrem Desktop aus gestatten, immer Dateien und Ähnliches per E-Mail versenden können, sofern Sie dies nicht auf dem E-Mail-Server blockieren.
Antwort2
Haben Sie darüber nachgedacht, einen 2008-Server hinzuzufügen und das Remote Desktop Gateway einzurichten? In der Remote Desktop Gateway-Richtlinie können SieGeräteumleitung deaktivieren.
Mit einem Remote Desktop Gateway benötigen die Benutzer keinen VPN-Client und Sie müssen an den Arbeitsstationen nichts tun.
Antwort3
Das VPN sollte vor der Verbindung mit RDP eingerichtet werden, daher sollte RDP nicht dem Internet ausgesetzt sein und Sie müssen sich keine Gedanken über die Portnutzung von RDP machen.
soweit GPO-Einstellungen innerhalb GPMC suchen
Computer/Admin-Vorlagen/Windows-Komponenten/Terminaldienste usw.