Estamos tentando bloquear um Terminal Server e queremos remover a capacidade de um pacote comercial de aceitar caminhos de arquivo UNC, ou seja. os caminhos no aplicativo só podem ser inseridos usando as letras da unidade do Windows.
Existe alguma maneira de fazer isso no Windows?
Podemos proibir caminhos UNC apenas para o aplicativo?
Podemos proibir caminhos UNC para toda a sessão do Terminal Server?
A intenção é permitir que o aplicativo grave apenas em determinados diretórios (conforme mapeado na sessão do Terminal Server). O objetivo é evitar a saída de arquivos para diretórios aos quais os usuários têm acesso, mas não estão mapeados na sessão do Terminal Server.
Responder1
Internamente (no código do Windows), uma letra de unidade nada mais é do que um wrapper para um caminho UNC. Isso me sugere que o que você pede não é possível.
Responder2
Esta postagem no fórumparece implicar que definir a política de grupo"Remover menu executar do menu iniciar"desativa o uso de caminhos UNC em aplicativos que usam caixas de diálogo comuns para Abrir e Salvar.
No entanto, eu desaconselharia esse curso de ação. É quase certo que existem maneiras de contornar esta política, especialmente se você permitir a execução de código arbitrário.
Responder3
Pergunta interessante. Tenho 99% de certeza de que a resposta é “não”, pois nunca encontrei tal coisa. Os nomes UNC são mais "fundamentais" do que as letras das unidades de rede, então eu ficaria muito surpreso se eles pudessem ser desativados, ou pelo menos não sem algum hackeamento (por exemplo, colocar servidores no arquivo lmhosts com o endereço IP errado).
A maneira de controlar o acesso é por meio de ACLs nos compartilhamentos ou nos diretórios por trás do compartilhamento.
Jr.
Responder4
Pessoalmente, penso nisso como uma questão política e não técnica. Quaisquer coisas "ruins" que aconteçam se o usuário escrever fora das unidades mapeadas de sessão - você precisará informá-los, educá-los e entretê-los sobre o problema em questão e fazer com que eles não façam isso. Não pode ser desastroso se eles fizerem isso, pode? Apenas inconveniente até certo ponto?
Você deve ser capaz de adicionar uma política de grupo que se aplique apenas ao usuário quando ele fizer logon em um servidor de terminal - no qual você ajusta as permissões de alguma forma.
Talvez adicionando os servidores de terminal a um grupo, adicionando esse grupo com permissões negadas nos caminhos unc em questão e ativando o processamento de loopback para essa política? Não tenho certeza exatamente se isso funcionaria sem testá-lo, mas infelizmente ...
Tentar evitar coisas removendo partes da interface do usuário é principalmente uma má ideia, pois muitas vezes é facilmente contornado - e UNC é a base de uma rede Windows, portanto, remover o suporte para isso significaria remover todos os recursos de compartilhamento/impressora/endereçamento de rede, incluindo pastas iniciais e outras coisas.