Bloqueando a área de trabalho remota usando o GPO do AD

3

Atualmente, estou bloqueando o acesso remoto a empresas por meio de uma VPN. O que eu preciso fazer é desativar a impressão remota, transferência de arquivos e área de transferência através do diretório ativo para as estações de trabalho que serão acessadas. Estou tendo problemas para descobrir quais GPOs são usados para restringir isso.

Minha abordagem básica é restringir os usuários de VPN à porta 3389, para que eles possam acessar seus computadores de trabalho remotamente, mas nada mais (vou analisar a verificação da camada 7 posteriormente). Com isso, quero garantir que eles não possam transferir dados usando arquivos, impressão ou a área de transferência.

O ambiente é o Windows Server 2003

    
por Brettski 02.06.2010 / 20:42

3 respostas

4

Portanto, se eu entendi seus requisitos, você tem a configuração da VPN. Quando os usuários se conectam, eles estão protegidos por um firewall que restringe todo o tráfego, exceto o 3389, que é usado pelo MS RDP em seus desktops. Você também deseja restringir os usuários de imprimir de seus PCs de trabalho para qualquer impressora externa, impedir que eles cortem e colem através da área de transferência de sessão RDP e transferir arquivos de seus PCs.

Eu acho que você precisa olhar para isso de uma perspectiva de rede, bem como configurações de política.

Você pode criar uma diretiva e impedir o redirecionamento de porta LPT na configuração do computador de GPO "Modelos Administrativos \ Componentes do Windows \ Serviços de Área de Trabalho Remota \ Host de Sessão da Área de Trabalho Remota \ Redirecionamento de Dispositivo e Recurso \ Não Permitir Redirecionamento de Porta LPT". Você também pode configurar a área de transferência no mesmo local.

No que diz respeito à transferência de arquivos desse PC para outro local, você terá que restringir os protocolos na camada de rede para impedir que o SMB, HTTP, HTTPS, FTP, etc. da sua rede interna para qualquer lugar externo. Se isso já está em vigor, nada relacionado ao RDP deve mudar isso. AFAIK, cortar e colar arquivos via RDP não é suportado.

Lembre-se de permitir que eles acessem e-mails a partir de sua área de trabalho, eles sempre poderão enviar arquivos por e-mail, a menos que você os bloqueie no servidor de e-mail.

    
por 02.06.2010 / 21:26
1

Você já pensou em adicionar um servidor 2008 e configurar o Gateway de Área de Trabalho Remota? Na política do Gateway de Área de Trabalho Remota, você pode desativar o redirecionamento de dispositivos .

Com um Gateway de Área de Trabalho Remota, os usuários não precisarão de um cliente VPN e você não precisará fazer nada nas estações de trabalho.

    
por 02.06.2010 / 21:56
0

A vpn deve ser estabelecida antes da conexão ao rdp, então o rdp não deve ser exposto à internet, então você não precisa se preocupar com o uso da porta do rdp.

até onde as configurações do gPO aparecem dentro do gpmc

modelos de computador / administração / componentes do Windows / serviços de terminal, etc ...

    
por 02.06.2010 / 21:26