Беспокоит утечка информации с терминального сервера. //
Есть терминальный сервер и тонкие клиенты с запрещенными USB, FDD, CD. Но есть пара ноутбуков со своими Windows XP. Через «Подключение к удаленному рабочему столу» входят они на терминальный север. Сопоставление дисков и буфера обмена в Настройке служб терминалов я отключил. Но что пользователю мешает сделать шару на своем диске, а в терминальной сессии через сетевое окружение зайти в нее и все что нужно скопировать. Пошел дальше - в Групповых политиках убрал отображение сетевого окружения в Моем Компьютере и на Рабочем столе, скрыл Подключение сетевого диска. Но что ему помешает в адресной строке Моего компьютера набрать \\имя компьютера\имя шары.
Вопрос 1. Можно ли терминальному пользователю запретить копировать файлы по локальной сети, а общие принтеры оставить.
Вопрос 2. Можно ли хотя бы убрать адресную строку в Моем компьютере и Проводнике.
Вопрос 3. Можно ли хотя бы запретить символы \\ в адресной строке в Моем компьютере и Проводнике.
- Войдите на сайт для отправки комментариев
Во-первых, это
Во-первых, это вопрос не по теме. Вам лучше обратиться к курсам по безопасности Windows и в соответствующие форумы по администрированию терминал-серверов.
Во-вторых, по существу вопроса:
1. задача решается исходя из конкретной инфраструктуры. Что такое "общие принтеры?". Если сетевые принтеры, то проблем нет. Если это принтеры, подключаемые по RDP, то также проблем нет. Если на вашем сервере вообще не используется cifs, то вам достаточно закрыть файерволом этот протокол. Если сервер автономный - закройте все кроме порта 3389 (RDP по умолчанию) и будет Вам счастье...
2. и 3. Можно, но это вас не спасет. Если пользователь знает про "\\" то он скорее всего знает (узнает) про другие возможности... Это и стороннее ПО, и веб-браузер и прочее... все не закроешь...
Решил проблему
Решил проблему следующим образом.
Вводная информация:
1. Есть в офисе Терминальный сервер с двумя сетевыми платами (одна смотрит внутрь сети, а вторая в интернет). Он же и раздает интернет.
2. Есть в офисе несколько десятков тонких клиентов.
3. Есть в офисе несколько приходящих сотрудников (ноутбуки со своим Windows).
4. Есть необходимость в доступе к Терминальному серверу через Интернет с домашних компьютеров (со своим Windows).
Предполагаемая проблема: утечка информации с терминального сервера.
Решение:
1. Отключаю на обоих сетевых интерфейсах «Клиент для сетей Microsoft» и «Служба доступа к файлам и принтерам сетей Microsoft». Таким образом, ограничиваю доступ к сети снаружи Терминального сервера и изнутри.
2. Сделал 6 видов терминального доступа на 6 разных портах.
Экпортируем ветку реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Переименовываем ее как удобно и изменяем порт
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\(Название подключения)\PortNumber
Импортируем старую ветку.
И т.д. до нужного количества.
Почему 6 видов терминального доступа, ну для меня так удобнее: 3 на внутреннюю сетевую плату, а еще 3 на наружную. В каждом из терминальных подключений прописал группы, которые могут использовать это подключение и разбросал пользователей по этим группам.
Первый вид терминального доступа (стандартный порт 3389) разрешаю сопоставление дисков, принтеров, буфера обмена. Сюда идут тонкие клиенты (их можно контролировать файлом конфигурации) и надежные сотрудники.
Второй вид терминального доступа (порт 3390) разрешаю сопоставление только принтеров. Сюда идут сотрудники со своей и Windows и принтером.
Третий вид терминального доступа (порт 3391) ничего не разрешаю. Сюда идут сотрудники со своей и Windows, которым нельзя даже распечатывать.
Четвертый, пятый и шестой вид терминального доступа (порты 3392, 3393, 3394) делаю аналогично, но для доступа через интернет. Может сотруднику и можно в офисе подключать диски или печатать, то не факт, что это им нужно разрешать делать через интернет. Поэтому прописал другие группы, которые могут использовать это подключение и разбросал пользователей по этим группам. Брандмауэром на внешней сетевой плате оставил открытые порты только 3392, 3393, 3394.
Подключаются к серверу терминалов через server:port
В результате:
1. Тонкие клиенты подключаются классическим способ (за это спасибо команде itadvisor.ru). USB и прочее отключено в файле конфигурации.
2. Пользователи со своими ноутбуками подключаются внутри сети server:port (3389, 3390, 3391) со своими правами.
2. Удаленные пользователи со своими компьютерами подключаются через server:port (3392, 3393, 3394) со своими правами.
Локальной сети Microsoft – нет.
Права внутри сети на сетевые принтеры или в IP-адрес тонкого клиента – раздаем.
Права при подключении к удаленному рабочему столу зависят от того к какому порту подключаешься.
На
На терминальном сервере в файерволе закрыть все порты, кроме 3389.