我目前通过VPNlocking公司远程桌面访问。 我需要做的是禁用远程打印,文件传输和剪贴板通过活动目录的工作站将被访问。 我无法弄清楚哪些GPO被用来限制这个。
我的基本方法是限制VPN用户到端口3389,以便能够远程访问他们的工作计算机,但没有别的(我将看看第7层扫描后)。 有了这个我想确保他们无法通过文件,打印或剪贴板传输和数据。
环境是Windows Server 2003
因此,如果我了解您的要求,就可以进行VPN设置,因此当用户连接时,它们位于防火墙的后面,限制除用于MS RDP的桌面上的3389以外的所有通信。 您还希望限制用户从工作PC上打印到任何外部打印机,防止他们通过RDP会话剪贴板剪切和粘贴,并将文件从PC上传送出去。
我认为你需要从networking的angular度以及政策设置来看待这个问题。
您可以在GPO计算机设置“pipe理模板\ Windows组件\远程桌面服务\远程桌面会话主机\设备和资源redirect\不允许LPT端口redirect”下创build策略并防止LPT端口redirect。 您也可以在相同的位置configuration剪贴板。
至于从该PC传输文件到其他地方,你将不得不在networking层限制协议,以防止SMB,HTTP,HTTPS,FTP等从您的内部networking到任何地方的外部。 如果已经有了,那么与RDP相关的任何内容都不应该改变这一点。 AFAIK,不支持通过RDP剪切和粘贴文件。
请记住,如果您允许他们从桌面访问电子邮件,他们总是可以通过电子邮件等方式发送邮件,除非您在电子邮件服务器上阻止。
您是否考虑添加2008服务器并设置远程桌面网关? 在远程桌面网关策略中,您可以禁用设备redirect 。
使用远程桌面网关,用户不需要VPN客户端,也不必对工作站进行任何操作。
在连接到rdp之前应该build立vpn,所以rdp不应该暴露在互联网上,所以你不必担心rdp的端口使用。
只要gpo设置在gpmc内
电脑/pipe理模板/ Windows组件/terminal服务等…