У меня есть требование отключить конечных пользователей, которые подключаются к удаленному рабочему столу на машине Server 2008 R2, для захвата изображений в цифровом виде с помощью, скажем, клавиши Print Screen. Есть ли надежный способ сделать это? Я должен упомянуть, что сеанс удаленного рабочего стола работает в полноэкранном режиме, поэтому пользователь не может использовать Snipping Tool с клиентской машины для захвата экрана рабочего стола. Snipping Tool также отключен на сервере.
решение1
Клиент может использовать инструмент для вырезания, даже в полноэкранном режиме. Даже если вы найдете способ отключить клавишу печати экрана на клиентах (Вы можете это сделать, если у вас есть контроль над их реестром, но для этого требуется полностью отключить клавишу и перезагрузить клиентскую систему. Если люди подключаются удаленно со своих собственных систем, этого не произойдет), существуют сотни утилит для захвата экрана, которые могут делать скриншоты и записывать окно RDP, как оно отображается на их машине.
И они всегда могут сделать снимок на свой смартфон. Звучит так, будто вы пытаетесь найти техническое решение социальной проблемы — это почти никогда не срабатывает.
Если только вы не говорите о системе киоска, где у вас есть 100% полный контроль над клиентом,иу вас есть ресурсы для написания утилиты, которая не дает RDP терять фокус, тогда клиент RDP может делать снимки экрана и записывать все, что захочет, в сеансе RDP.
Ваше требование технически невыполнимо. Как клиент-пользователь, я либо имею право просматривать данные, либо нет. Если вы не можете доверять тому, что кто-то будет делать с данными, не разрешайте им просматривать их вообще.
Если у вас есть полная физическая безопасность, то
- Удалите ножницы с клиентских машин.
- Отключить локальный буфер обмена на удаленном рабочем столе
- Используйте SharpKeys или что-то подобное для настройки пользовательской раскладки клавиш, которая отключает PrintScrn(переназначает ее на код клавиши
00) - Брандмауэр для машин, чтобыТОЛЬКОсервер, который они могут видеть в сети, — это RDP-сервер (и, возможно, контроллер домена). Клиентские машины не должны иметь возможности доступа к Интернету каким-либо образом, в какой-либо форме или в любое время.
- Убедитесь, что на клиентских машинах нет физического доступа к портам ввода/вывода (DVD burner, eSata, USB и т. д.). Всегда держите машину в запертом шкафу, или я даже слышал о компаниях, которые заливают клей в порты USB.
Идея здесь в следующем:
- У них не должно быть возможности загружать или устанавливать какие-либо сторонние инструменты для захвата экрана.
- Если им удастся захватить экран, они уже не смогут вывести изображение за пределы устройства.
Все это перестает работать, если пользователь может подключить машину к другой сети или если он может физически прикоснуться к самой клиентской машине (помимо мыши/клавиатуры).