Eu tenho um servidor Windows 2008 R2 que contém documentos confidenciais em uma pequena LAN. Os dois usuários que utilizam o servidor fazem isso via RDP para que nenhum documento seja transferido para as estações de trabalho clientes. Durante uma operação de due diligence, determinei que vários serviços e tarefas agendadas integrados ao Windows podem telefonar para casa e potencialmente vazar dados.
Eu gostaria de evitar que qualquer um desses serviços integrados fizesse isso, se possível, no nível do servidor.
Infelizmente, não tenho controle do firewall na LAN, pois é um firewall mantido remotamente e com um contrato longo. O controle disso também não seria útil, pois o HTTP de saída é necessário para dois usuários RDP na máquina.
Os patches são enviados para a máquina por meio do PowerShell a partir de uma estação de trabalho. A atualização do Windows já está desativada.
Considerei o Firewall do Windows, mas não confio 100% em suas ferramentas de configuração e sei que alguns serviços podem adicionar exceções às regras em tempo de execução.
Quais soluções estão disponíveis para resolver esse problema e há alguma documentação sobre o que potencialmente acontece ou isso é um trabalho de engenharia reversa?
Qualquer ajuda será apreciada!
Responder1
A maneira mais simples de fazer isso é atravésPolítica de grupo. Usando a Política de Grupo você pode definirregras de firewall não substituíveispara bloquear todas as conexões de saída, a menos que sejam adicionadas a uma lista de permissões explícita à qual somente usuários Administradores de Domínio podem adicionar. Se todo o software no servidor estiver sendo executado como Administrador Local ou inferior, eles não poderão substituir as regras da Política de Grupo (e mesmo que conseguissem uma maneira de alterá-las, revisar as regras de firewall resultantes é algo muito fácil de auditar. Janelas).
Se precisar de mais informações sobre como configurar regras de firewall por meio de política de grupo, posso tentar adicionar mais informações.
Eu disse que essa é a maneira mais fácil, existem controles mais refinados onde você podedesligue cada um dos recursos específicos do Windowsque utilizam acesso à internet.