Tengo un servidor Windows 2008 R2 que debe contener documentos confidenciales en una LAN pequeña. Los dos usuarios que utilizan el servidor lo hacen vía RDP por lo que no se transfieren documentos a las estaciones de trabajo de los clientes. Durante una operación de diligencia debida, determiné que numerosos servicios y tareas programadas integradas en Windows pueden llamar a casa y potencialmente filtrar datos.
Me gustaría evitar que cualquiera de estos servicios integrados lo haga, si es posible, a nivel de servidor.
Desafortunadamente, no tengo control del firewall en la LAN, ya que es uno mantenido de forma remota con un contrato prolongado. El control de esto tampoco sería útil ya que se requiere HTTP saliente para dos usuarios RDP en la máquina.
Los parches se envían a la máquina a través de PowerShell desde una estación de trabajo. La actualización de Windows ya está desactivada.
He considerado el Firewall de Windows pero no confío al 100% en sus herramientas de configuración y sé que algunos servicios pueden agregar excepciones a las reglas en tiempo de ejecución.
¿Qué soluciones hay disponibles para resolver este problema? ¿Existe alguna documentación sobre lo que potencialmente pasa por el cable o se trata de un trabajo de ingeniería inversa?
¡Cualquier ayuda apreciada!
Respuesta1
La forma más sencilla de hacerlo es hacerlo a través dePolítica de grupo. Usando la Política de grupo puedes configurarreglas de firewall no anulablespara bloquear todas las conexiones salientes a menos que se agreguen a una lista de permitidos explícita a la que solo los usuarios administradores de dominio pueden agregar. Si todo el software en el servidor se ejecuta como Administrador local o inferior, no pueden anular las reglas de Política de grupo (e incluso si consiguieran una manera de cambiarlas, revisar las reglas de firewall resultantes es algo que es muy fácil de auditar). Ventanas).
Si necesita más información sobre cómo configurar reglas de firewall a través de la política de grupo, puedo intentar agregar más información.
Dije que esa es la forma más fácil, hay controles más detallados donde puedesdesactivar cada una de las funciones específicas de Windowsque utilizan el acceso a Internet.