我有一台 Windows 2008 R2 服务器,用于存放小型 LAN 上的敏感文档。使用该服务器的两个用户通过 RDP 进行操作,因此不会将任何文档传输到客户端工作站。在尽职调查过程中,我发现 Windows 内置的众多服务和计划任务可以回传并可能泄露数据。
如果可能的话,我想在服务器级别阻止任何这些内置服务这样做。
不幸的是,我无法控制 LAN 上的防火墙,因为它是预先设定的远程维护防火墙,并且签订了长期合同。控制防火墙也毫无用处,因为机器上的两个 RDP 用户需要出站 HTTP。
补丁通过工作站的 PowerShell 推送到机器。Windows 更新已关闭。
我考虑过 Windows 防火墙,但我不是 100% 信任它的配置工具,而且我知道某些服务可以在运行时添加规则的例外。
有哪些解决方案可以解决这个问题,是否有任何文档记录可能通过网络发生的情况,或者这是一项逆向工程工作?
任何帮助都值得感激!
答案1
最简单的方法是通过组策略. 使用组策略,您可以设置不可覆盖的防火墙规则阻止所有传出连接,除非它们被添加到只有域管理员用户才能添加的明确允许列表中。如果服务器上的所有软件都以本地管理员或更低权限运行,则他们无法覆盖组策略规则(即使他们确实有办法更改它,在 Windows 上查看由此产生的防火墙规则也是非常容易审核的事情)。
如果您需要有关如何通过组策略设置防火墙规则的更多信息,我可以尝试添加更多信息。
我说这是最简单的方法,你可以进行更细粒度的控制关闭每个 Windows 特定功能使用互联网接入。