У нас много серверов под управлением Windows 2008 r2 (RDS/Citrix). Мы делаем все возможное, чтобы заблокировать удаленный рабочий стол и опубликованные приложения.
Недавно один из моих коллег показал мне, как он может использовать 7-zip для просмотра нашей сети (с простой учетной записью пользователя). На самом деле, это то, что я никогда не думал, что мы могли бы использовать (я редко проверяю такие «маленькие» приложения и все свои усилия направляю на «более важные приложения», такие как Office Suite, SQL client и т. д.).
После повторной проверки выяснилось, что пользователи, подключающиеся к своему удаленному рабочему столу, могут использовать 7-zip для просмотра сети и доступа к файлам и папкам на серверах. К счастью, они не могут открывать файлы, удалять или перемещать их, но я все равно хочу найти способ отключить это.
Я не нашел много документов или руководств по этой теме, и поскольку я не могу отключить эту функцию с помощью GPO (я бы хотел оставить 7-Zip и не использовать другие приложения), может ли кто-нибудь оказать мне помощь?
решение1
Похоже, вам просто нужно настроить Access-based Enumeration.
Перечисление на основе доступа отображает только те файлы и папки, на доступ к которым у пользователя есть разрешения. Если у пользователя нет разрешений на чтение (или эквивалентных) для папки, Windows скрывает папку от пользователя. Эта функция активна только при просмотре файлов и папок в общей папке; она неактивна при просмотре файлов и папок в локальной файловой системе.
Вот Технетстатьяэто вдается в некоторые подробности.