Actualmente estoy bloqueando el acceso al escritorio remoto de una empresa a través de una VPN. Lo que debo hacer es desactivar la impresión remota, la transferencia de archivos y el portapapeles a través del directorio activo para las estaciones de trabajo a las que se accederá. Tengo problemas para determinar qué GPO se utilizan para restringir esto.
Mi enfoque básico es restringir a los usuarios de VPN al puerto 3389 para que puedan acceder a sus computadoras de trabajo de forma remota, pero nada más (veré el escaneo de capa 7 más adelante). Con esto quiero asegurarme de que no puedan transferir datos a través de archivos, impresión o portapapeles.
El entorno es Windows Server 2003.
Respuesta1
Entonces, si entiendo sus requisitos, tiene la configuración de VPN para que cuando los usuarios se conecten, estén detrás de un firewall que restringe todo el tráfico excepto el 3389, que se utiliza para que MS RDP llegue a sus escritorios para hacer su trabajo. También desea restringir que los usuarios impriman desde sus PC de trabajo a cualquier impresora externa, evitar que corten y peguen a través del portapapeles de la sesión RDP y transfieran archivos desde sus PC.
Creo que hay que mirar esto desde una perspectiva de red, así como desde la configuración de políticas.
Puede crear una política y evitar la redirección del puerto LPT en la configuración del equipo GPO "Plantillas administrativas\Componentes de Windows\Servicios de Escritorio remoto\Host de sesión de Escritorio remoto\Redirección de dispositivos y recursos\No permitir la redirección del puerto LPT". También puedes configurar el portapapeles en la misma ubicación.
En cuanto a transferir archivos desde esa PC a otro lugar, deberá restringir los protocolos en la capa de red para evitar que SMB, HTTP, HTTPS, FTP, etc. desde su red interna a cualquier lugar externo. Si esto ya está en vigor, nada relacionado con el PDR debería cambiarlo. AFAIK, no se admite cortar y pegar archivos a través de RDP.
Recuerde que si les permite acceder al correo electrónico desde su escritorio, siempre podrán enviar archivos por correo electrónico y demás, a menos que los bloquee en el servidor de correo electrónico.
Respuesta2
¿Ha considerado agregar un servidor 2008 y configurar Remote Desktop Gateway? En la política de puerta de enlace de Escritorio remoto puededesactivar la redirección de dispositivos.
Con una puerta de enlace de escritorio remoto, los usuarios no necesitarán un cliente VPN y usted no tendrá que hacer nada en las estaciones de trabajo.
Respuesta3
La VPN debe establecerse antes de la conexión a rdp, por lo que rdp no debe estar expuesto a Internet, por lo que no tiene que preocuparse por el uso del puerto de rdp.
en cuanto a la configuración de gpo se ve dentro de gpmc
Computadora/plantillas de administración/componentes de Windows/servicios de terminal, etc.