No momento, estou bloqueando o acesso remoto à área de trabalho de uma empresa por meio de uma VPN. O que preciso fazer é desabilitar a impressão remota, transferência de arquivos e área de transferência via active directory para as estações de trabalho que serão acessadas. Estou tendo problemas para descobrir quais GPOs são usados para restringir isso.
Minha abordagem básica é restringir os usuários VPN à porta 3389 para que possam acessar seus computadores de trabalho remotamente, mas nada mais (examinarei a verificação da camada 7 mais tarde). Com isso quero garantir que eles não consigam transferir dados por meio de arquivos, impressão ou área de transferência.
O ambiente é Windows Server 2003
Responder1
Então, se eu entendi seus requisitos, você tem a configuração VPN para que, quando os usuários se conectem, eles fiquem atrás de um firewall que restringe todo o tráfego, exceto o 3389, que é usado pelo MS RDP em seus desktops para fazer seu trabalho. Você também deseja restringir os usuários de imprimir de seus PCs de trabalho para qualquer impressora externa, impedindo-os de recortar e colar através da área de transferência da sessão RDP e transferir arquivos de seus PCs.
Acho que você precisa olhar para isso do ponto de vista da rede, bem como das configurações de política.
Você pode criar uma política e impedir o redirecionamento de porta LPT na configuração do computador GPO "Modelos Administrativos\Componentes do Windows\Serviços de Área de Trabalho Remota\Host de sessão de área de trabalho remota\Redirecionamento de dispositivos e recursos\Não permitir redirecionamento de porta LPT". Você também pode configurar a área de transferência no mesmo local.
No que diz respeito à transferência de arquivos desse PC para outro lugar, você terá que restringir os protocolos na camada de rede para evitar SMB, HTTP, HTTPS, FTP, etc. da sua rede interna para qualquer lugar externo. Se isso já estiver em vigor, nada relacionado com o PDR deverá alterar esta situação. AFAIK, recortar e colar arquivos via RDP não é compatível.
Lembre-se de que se você permitir que eles acessem o e-mail de sua área de trabalho, eles sempre poderão enviar arquivos por e-mail e outros itens, a menos que você os bloqueie no servidor de e-mail.
Responder2
Você já pensou em adicionar um servidor 2008 e configurar o Remote Desktop Gateway? Na política do Gateway de Área de Trabalho Remota você podedesativar o redirecionamento de dispositivos.
Com um Gateway de Área de Trabalho Remota os usuários não precisarão de um cliente VPN e você não precisará fazer nada nas estações de trabalho.
Responder3
A VPN deve ser estabelecida antes da conexão com o RDP, portanto, o RDP não deve ser exposto à Internet, para que você não precise se preocupar com o uso da porta do RDP.
no que diz respeito às configurações de gpo, procure dentro do gpmc
modelos de computador/administrador/componentes do Windows/serviços de terminal etc...