我目前正在通过 VPN 锁定公司的远程桌面访问。我需要做的是通过活动目录禁用将要访问的工作站的远程打印、文件传输和剪贴板。我无法弄清楚使用哪些 GPO 来限制这一点。
我的基本方法是将 VPN 用户限制在端口 3389,这样他们就只能远程访问他们的工作计算机,而不能访问其他任何计算机(稍后我将研究第 7 层扫描)。这样一来,我想确保他们无法通过文件、打印或剪贴板传输数据。
环境是Windows Server 2003
答案1
因此,如果我理解您的要求,您设置了 VPN,因此当用户连接时,他们将处于防火墙后面,该防火墙限制除 3389 之外的所有流量,3389 用于 MS RDP 到他们的桌面进行工作。您还希望限制用户从他们的工作 PC 打印到任何外部打印机,防止他们通过 RDP 会话剪贴板剪切和粘贴以及从他们的 PC 传输文件。
我认为您需要从网络角度以及策略设置来解决这个问题。
您可以在 GPO 计算机设置“管理模板\Windows 组件\远程桌面服务\远程桌面会话主机\设备和资源重定向\不允许 LPT 端口重定向”下创建策略并阻止 LPT 端口重定向。您还可以在同一位置配置剪贴板。
至于将文件从该 PC 传输到其他地方,您必须限制网络层的协议,以防止 SMB、HTTP、HTTPS、FTP 等从您的内部网络传输到任何外部网络。如果已经实施了这些措施,那么与 RDP 相关的任何事情都不应该改变这一点。据我所知,不支持通过 RDP 剪切和粘贴文件。
请记住,如果您允许他们从桌面访问电子邮件,他们就始终可以通过电子邮件发送文件等,除非您在电子邮件服务器上阻止它。
答案2
您是否考虑过添加 2008 服务器并设置远程桌面网关?在远程桌面网关策略中,您可以禁用设备重定向。
有了远程桌面网关,用户将不需要 VPN 客户端,您也不必对工作站进行任何操作。
答案3
在连接到 rdp 之前应该建立 vpn,因此 rdp 不应该暴露到互联网,这样您不必担心 rdp 的端口使用情况。
就 gpo 设置在 gpmc 中查看
计算机/管理模板/Windows 组件/终端服务等...