我目前正在透過 VPN 鎖定公司的遠端桌面存取。我需要做的是透過活動目錄為將存取的工作站停用遠端列印、文件傳輸和剪貼簿。我無法確定使用哪些 GPO 來限制此操作。
我的基本方法是將 VPN 用戶限制在連接埠 3389,以便他們能夠遠端存取他們的工作計算機,但不能進行其他操作(稍後我將研究第 7 層掃描)。這樣我想確保他們無法透過文件、列印或剪貼簿傳輸資料。
環境是Windows Server 2003
答案1
因此,如果我了解您的要求,您就擁有 VPN 設置,因此當用戶連接時,他們位於防火牆後面,該防火牆限制除 3389 之外的所有流量,3389 用於 MS RDP 到其桌面來完成工作。您還希望限制使用者從其工作 PC 列印到任何外部印表機,防止他們透過 RDP 會話剪貼簿剪下和貼上以及從 PC 傳輸檔案。
我認為你需要從網路角度以及策略設定的角度來看待這個問題。
您可以在 GPO 電腦設定「管理範本\Windows 元件\遠端桌面服務\遠端桌面會話主機\裝置和資源重定向\不允許 LPT 連接埠重新導向」下建立原則並阻止 LPT 連接埠重新導向。您也可以在相同位置配置剪貼簿。
至於將檔案從該 PC 傳輸到其他地方,您必須限制網路層的協議,以防止 SMB、HTTP、HTTPS、FTP 等從您的內部網路傳輸到任何外部網路。如果這已經到位,那麼與 RDP 相關的任何內容都不應改變這一點。 AFAIK,不支援透過 RDP 剪下和貼上文件。
請記住,如果您允許他們從桌面存取電子郵件,他們始終可以透過電子郵件發送文件等,除非您在電子郵件伺服器上封鎖它們。
答案2
您是否考慮過新增 2008 伺服器並設定遠端桌面閘道?在遠端桌面閘道策略中,您可以停用裝置重定向。
使用遠端桌面網關,使用者將不需要 VPN 用戶端,並且您無需對工作站執行任何操作。
答案3
VPN 應在連接到 rdp 之前建立,因此 rdp 不應暴露在互聯網上,這樣您就不必擔心 rdp 的連接埠使用情況。
就 gpo 設定而言,在 gpmc 中查找
電腦/管理模板/Windows 元件/終端機服務等...