我有一台 Windows 2008 R2 伺服器,用於在小型 LAN 上包含敏感文件。使用伺服器的兩個使用者透過 RDP 進行操作,因此不會將任何文件傳輸到客戶端工作站。在盡職調查過程中,我確定 Windows 內建的眾多服務和排程任務可以打電話回家並可能洩露資料。
如果可能的話,我想在伺服器層級阻止任何這些內建服務這樣做。
不幸的是,我無法控制區域網路上的防火牆,因為它是一個帶有長期合約的罐裝遠端維護防火牆。對此進行控制也沒有任何用處,因為電腦上的兩個 RDP 使用者需要出站 HTTP。
補丁透過 PowerShell 從工作站推送到電腦。 Windows 更新已關閉。
我考慮過 Windows 防火牆,但我並不 100% 信任它的配置工具,而且我知道某些服務可以在運行時向規則添加例外。
有哪些解決方案可以解決此問題?
任何幫助表示讚賞!
答案1
最簡單的方法是透過群組原則。使用群組策略,您可以設定不可覆蓋的防火牆規則阻止所有傳出連接,除非它們被添加到只有網域管理員使用者才能新增的明確允許清單中。如果伺服器上的所有軟體都以本機管理員或更低等級的身份運行,則它們無法覆蓋群組原則規則(即使它們確實有辦法更改它,檢查生成的防火牆規則也很容易審核)視窗)。
如果您需要有關如何透過群組原則設定防火牆規則的更多信息,我可以嘗試新增更多資訊。
我說這是最簡單的方法,還有更細粒度的控件,您可以關閉每個 Windows 特定功能使用互聯網訪問的。