현재 VPN을 통해 회사의 원격 데스크톱 액세스를 차단하고 있습니다. 내가 해야 할 일은 액세스할 워크스테이션에 대해 활성 디렉터리를 통한 원격 인쇄, 파일 전송 및 클립보드를 비활성화하는 것입니다. 이를 제한하는 데 어떤 GPO가 사용되는지 파악하는 데 문제가 있습니다.
나의 기본 접근 방식은 VPN 사용자를 포트 3389로 제한하여 해당 사용자가 업무 컴퓨터에 원격으로 액세스할 수 있도록 하는 것입니다(나중에 레이어 7 스캔을 살펴보겠습니다). 이를 통해 파일, 인쇄 또는 클립보드를 통해 데이터를 전송할 수 없도록 하고 싶습니다.
환경은 Windows Server 2003입니다.
답변1
따라서 귀하의 요구 사항을 이해한다면 VPN 설정이 있으므로 사용자가 연결할 때 작업을 수행하기 위해 MS RDP에 사용되는 3389를 제외한 모든 트래픽을 제한하는 방화벽 뒤에 있습니다. 또한 사용자가 업무용 PC에서 외부 프린터로 인쇄하는 것을 제한하고, RDP 세션 클립보드를 통해 잘라내어 붙여넣고 PC에서 파일을 전송하는 것을 방지하려고 합니다.
이는 정책 설정뿐만 아니라 네트워크 관점에서도 살펴봐야 할 것 같습니다.
GPO 컴퓨터 설정 "관리 템플릿\Windows 구성 요소\원격 데스크톱 서비스\원격 데스크톱 세션 호스트\장치 및 리소스 리디렉션\LPT 포트 리디렉션 허용 안 함"에서 정책을 만들고 LPT 포트 리디렉션을 방지할 수 있습니다. 동일한 위치에 클립보드를 구성할 수도 있습니다.
해당 PC에서 다른 곳으로 파일을 전송하는 경우 내부 네트워크에서 외부로 SMB, HTTP, HTTPS, FTP 등을 방지하기 위해 네트워크 계층에서 프로토콜을 제한해야 합니다. 그것이 이미 존재한다면 RDP와 관련된 어떤 것도 이를 변경해서는 안 됩니다. AFAIK, RDP를 통한 파일 잘라내기 및 붙여넣기는 지원되지 않습니다.
데스크톱에서 이메일에 액세스할 수 있도록 허용하면 이메일 서버에서 차단하지 않는 한 언제든지 파일 등을 이메일로 보낼 수 있다는 점을 기억하세요.
답변2
2008 서버를 추가하고 원격 데스크톱 게이트웨이 설정을 고려해 보셨나요? 원격 데스크톱 게이트웨이 정책에서 다음을 수행할 수 있습니다.장치 리디렉션 비활성화.
원격 데스크톱 게이트웨이를 사용하면 사용자에게 VPN 클라이언트가 필요하지 않으며 워크스테이션에 어떤 작업도 수행할 필요가 없습니다.
답변3
rdp에 연결하기 전에 VPN을 설정해야 하므로 rdp가 인터넷에 노출되지 않아야 하므로 rdp의 포트 사용에 대해 걱정할 필요가 없습니다.
gpo 설정이 gpmc 내에서 보이는 한
컴퓨터/관리 템플릿/Windows 구성 요소/터미널 서비스 등...