Блокировка удаленного рабочего стола с помощью AD GPO

Question

Блокировка удаленного рабочего стола с помощью AD GPO

В настоящее время я блокирую доступ удаленного рабочего стола компании через VPN. Что мне нужно сделать, это отключить удаленную печать, передачу файлов и буфер обмена через активный каталог для рабочих станций, которые будут доступны. У меня возникли проблемы с выяснением, какие объекты групповой политики используются для ограничения этого.

Мой основной подход состоит в том, чтобы ограничить пользователей VPN портом 3389, чтобы они могли получить доступ к своим рабочим компьютерам удаленно, но не более (я рассмотрю сканирование уровня 7 позже). При этом я хочу убедиться, что они не могут передавать и данные через файлы, печать или буфер обмена.

Среда Windows Server 2003

3

windows-server-2003 remote-desktop windows-terminal-services

Источник

Brettski 02 июн '10 в 18:42

3 ответа

Решение

Рассматривали ли вы добавление сервера 2008 года и настройку шлюза удаленных рабочих столов? В политике шлюза удаленных рабочих столов вы можете отключить перенаправление устройств.

При использовании шлюза удаленных рабочих столов пользователям не понадобится VPN-клиент, и вам не нужно ничего делать с рабочими станциями.

1

Источник

Zoredache 02 июн '10 в 19:56

Vpn должен быть установлен до подключения к rdp, поэтому rdp не должен быть подключен к Интернету, поэтому вам не нужно беспокоиться об использовании порта rdp.

насколько настройки gpo смотрятся в gpmc

компьютер / шаблоны администратора / компоненты Windows/ службы терминалов и т. д.

0

Источник

tony roth 02 июн '10 в 19:26

Другие вопросы по тегам windows-server-2003 remote-desktop windows-terminal-services

BoxerBucks 02 июн '10 в 19:26 2010-06-02 19:26 · Accepted Answer · 2010-06-02 19:26

Поэтому, если я понимаю ваши требования, у вас есть настройка VPN, поэтому, когда пользователи подключаются, они находятся за брандмауэром, который ограничивает весь трафик, кроме 3389, который используется для MS RDP на их настольных компьютерах для выполнения их работы. Вы также хотите ограничить пользователей от печати со своих рабочих ПК на любые внешние принтеры, запретить им вырезать и вставлять через буфер обмена сеанса RDP и передавать файлы со своих компьютеров.

Я думаю, что вам нужно смотреть на это с точки зрения сети, а также параметров политики.

Вы можете создать политику и предотвратить перенаправление портов LPT в настройках компьютера объекта групповой политики "Административные шаблоны \ Компоненты Windows \ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \ Перенаправление устройств и ресурсов \ Не разрешать перенаправление портов LPT". Вы также можете настроить буфер обмена в том же месте.

Что касается передачи файлов с этого компьютера в другое место, вам придется ограничить протоколы на сетевом уровне, чтобы запретить SMB, HTTP, HTTPS, FTP и т. Д. Из вашей внутренней сети в любое другое внешнее пространство. Если это уже сделано, то ничто, связанное с RDP, не должно изменить это. AFAIK, вырезание и вставка файлов через RDP не поддерживается.

Помните, что если вы разрешите им получать доступ к электронной почте со своего рабочего стола, они всегда могут отправлять файлы по электронной почте и тому подобное, если вы не заблокируете их на почтовом сервере.