
Estamos intentando bloquear un servidor Terminal y queremos eliminar la capacidad de un paquete comercial para aceptar rutas de archivos UNC, es decir. Las rutas en la aplicación solo se pueden ingresar usando las letras de unidad de Windows.
¿Hay alguna manera de hacer esto en Windows?
¿Podemos no permitir rutas UNC solo para la aplicación?
¿Podemos no permitir rutas UNC para toda la sesión de Terminal Server?
La intención es permitir que la aplicación escriba sólo en determinados directorios (según lo asignado en la sesión de Terminal Server). El objetivo es evitar la salida de archivos a directorios a los que los usuarios tienen acceso, pero que no están asignados en la sesión de Terminal Server.
Respuesta1
Internamente (en el código de Windows), una letra de unidad no es más que un contenedor para una ruta UNC. Esto me sugiere que lo que preguntas no es posible.
Respuesta2
Esta publicación en el foroparece implicar que establecer la política de grupo"Eliminar el menú Ejecutar del menú Inicio"deshabilita el uso de rutas UNC en aplicaciones que usan los cuadros de diálogo comunes para Abrir y Guardar.
Sin embargo, desaconsejaría este curso de acción. Es casi seguro que existen formas de evitar esta política, especialmente si permite la ejecución de código arbitrario.
Respuesta3
Interesante pregunta. Estoy 99% seguro de que la respuesta es "no" porque nunca me he encontrado con algo así. Los nombres UNC son más "fundamentales" que las letras de las unidades de red, por lo que me sorprendería mucho que pudieran deshabilitarse, o al menos no sin algo de piratería (por ejemplo, colocar servidores en el archivo lmhosts con la dirección IP incorrecta).
La forma de controlar el acceso es mediante ACL en los recursos compartidos o los directorios detrás del recurso compartido.
J.R.
Respuesta4
Personalmente, consideraría esto como una cuestión de política y no una cuestión técnica. Independientemente de las cosas "malas" que sucedan si el usuario escribe fuera de las unidades asignadas de la sesión, deberá informarles, educarlos y entretenerlos sobre el problema en cuestión y pedirles que no lo hagan. No puede ser desastroso si hacen eso, ¿verdad? ¿Simplemente inconveniente hasta cierto punto?
Debería poder agregar una política de grupo que se aplique solo al usuario cuando inicia sesión en un servidor de terminal, en la que de alguna manera ajusta los permisos en consecuencia.
¿Quizás agregando los servidores de terminal a un grupo, agregando ese grupo con permisos denegados en las rutas unc en cuestión y activando el procesamiento de bucle invertido para esa política? No estoy seguro de que eso funcione exactamente sin probarlo, pero, por desgracia...
Tratar de evitar cosas eliminando partes de la interfaz de usuario es en su mayoría una mala idea, ya que con demasiada frecuencia se evita fácilmente, y UNC es la base de una red de Windows, por lo que eliminar su soporte significaría eliminar todas las capacidades de uso compartido/impresora/direccionamiento de la red, incluidas las carpetas de inicio. y esas cosas.