В настоящее время я блокирую доступ к удаленному рабочему столу компании через VPN. Мне нужно отключить удаленную печать, передачу файлов и буфер обмена через Active Directory для рабочих станций, к которым будет осуществляться доступ. Мне сложно понять, какие объекты групповой политики используются для ограничения этого.
Мой базовый подход заключается в ограничении пользователей VPN портом 3389, чтобы они могли получить удаленный доступ к своим рабочим компьютерам, но ни к чему больше (позже я рассмотрю сканирование уровня 7). С помощью этого я хочу гарантировать, что они не смогут передавать данные через файлы, печать или буфер обмена.
Среда — Windows Server 2003.
решение1
Итак, если я правильно понял ваши требования, у вас есть настройка VPN, поэтому когда пользователи подключаются, они находятся за брандмауэром, который ограничивает весь трафик, за исключением 3389, который используется для MS RDP на их рабочих столах для выполнения их работы. Вы также хотите ограничить пользователей в печати с их рабочих ПК на любых внешних принтерах, запретить им копировать и вставлять через буфер обмена сеанса RDP и передавать файлы со своих ПК.
Я думаю, вам следует рассмотреть это с точки зрения сети, а также настроек политики.
Вы можете создать политику и запретить перенаправление порта LPT в настройках компьютера GPO "Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Перенаправление устройств и ресурсов\Не разрешать перенаправление порта LPT". Вы также можете настроить буфер обмена в том же месте.
Что касается передачи файлов с этого ПК куда-либо еще, вам придется ограничить протоколы на сетевом уровне, чтобы предотвратить SMB, HTTP, HTTPS, FTP и т. д. из вашей внутренней сети куда-либо за ее пределы. Если это уже сделано, то никакие связанные с RDP изменения не должны иметь места. AFAIK, вырезание и вставка файлов через RDP не поддерживаются.
Помните, если вы разрешите им доступ к электронной почте со своего рабочего стола, они всегда смогут отправлять по электронной почте файлы и т. п., если только вы не заблокируете это на почтовом сервере.
решение2
Вы рассматривали возможность добавления сервера 2008 и настройки Remote Desktop Gateway? В политике Remote Desktop Gateway вы можетеотключить перенаправление устройств.
Благодаря шлюзу удаленного рабочего стола пользователям не понадобится VPN-клиент, и вам не придется ничего делать с рабочими станциями.
решение3
VPN должен быть установлен до подключения к RDP, поэтому RDP не должен быть доступен из Интернета, и вам не придется беспокоиться об использовании порта RDP.
что касается настроек gpo, смотрите в gpmc
шаблоны компьютера/администрирования/компоненты Windows/службы терминалов и т. д.