我们有一些用户连接到我们的networking上的一个Windows Server 2008的盒子,有一个简单的方法,我可以阻止这些用户访问局域网上的其他计算机,使他们只能访问服务器上的文件。 我对服务器pipe理不是很熟悉。
我的build议是使用防火墙策略进行networking级隔离。 即你应该使用的devise是DMZ。
例如,如果您有一个VPN用户连接到的terminal服务器/远程桌面服务器,最好是将该terminal服务器隔离到可能发生更严格的策略的防火墙接口的子网。
看到这张图 ,并阅读有关DMZ的概念 。
把专用的防火墙放到它最擅长的任务上,作为防火墙; 并将Windows留给最擅长的任务,即networking操作系统。
要正确而安全地做到这一点,你必须多一点教育自己。 🙂
虽然有许多方法可以做到这一点,但最基本的方法是简单地确保这些用户具有适当的权限。 即不给他们的权限,这将允许他们访问任何你不想访问的东西。
您可以使用具有高级安全性的Windows防火墙来阻止所有出站通信到您的LAN。 如果您在组策略或本地策略中设置,非pipe理员用户不应该能够更改它。
请注意,您必须至less允许RDP会话的出站stream量。