У меня есть сервер Windows 2008 R2, на котором должны храниться конфиденциальные документы в небольшой локальной сети. Два пользователя, которые используют сервер, делают это через RDP, поэтому никакие документы не передаются на клиентские рабочие станции. В ходе проверки я определил, что многочисленные службы и запланированные задачи, встроенные в Windows, могут звонить домой и потенциально приводить к утечке данных.
Я хотел бы запретить всем этим встроенным службам делать это на уровне сервера, если это возможно.
К сожалению, у меня нет контроля над брандмауэром в локальной сети, поскольку это консервированный, удаленно поддерживаемый с длительным контрактом. Контроль над ним также бесполезен, поскольку исходящий HTTP требуется для двух пользователей RDP на машине.
Патчи загружаются на машину через PowerShell с рабочей станции. Обновление Windows уже отключено.
Я рассматривал возможность использования брандмауэра Windows, но не доверяю на 100% его инструментам настройки и знаю, что некоторые службы могут добавлять исключения в правила во время выполнения.
Какие существуют решения для устранения этой проблемы и есть ли какая-либо документация о том, что потенциально передается по сети, или это работа по обратному проектированию?
Любая помощь приветствуется!
решение1
Самый простой способ сделать это — сделать это черезГрупповая политика. Используя групповую политику, вы можете установитьнепереопределяемые правила брандмауэраблокировать все исходящие соединения, если они не добавлены в явный список разрешенных, в который могут добавлять только пользователи с правами администратора домена. Если все программное обеспечение на сервере работает как локальный администратор или ниже, они не могут переопределить правила групповой политики (и даже если бы у них был способ изменить это, просмотр полученных правил брандмауэра — это то, что очень легко проверить в Windows).
Если вам нужна дополнительная информация о том, как настроить правила брандмауэра с помощью групповой политики, я могу попытаться добавить больше информации.
Я сказал, что это самый простой способ, есть более тонкие настройки, где вы можетеотключите каждую из специфических функций Windowsкоторые используют доступ в Интернет.