我想阻止进入我网络的 TeamViewer 连接,但同时允许传出的 TeamViewer 连接。
这样,用户就无法通过电视连接到工作电脑(绕过域身份验证),但同时可以连接到客户端电脑来帮助解决问题。
这有可能吗?
答案1
传统防火墙无法阻止。你需要某种数据包分析器。
或者您可以创建一个设置以下注册表项的 GPO:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TeamViewer\Version6\Security_AcceptIncoming REG_DWORD=0
这将禁用传入连接。
答案2
您可以尝试禁用 Teamviewer 使用的端口上的传入连接。我确定电视使用以下端口;
5938/tcp
80/tcp
也许还
443/tcp
5939/tcp
或者您可以对电视用于连接的 URL 做一些事情。
*.teamviewer.*
*dyngate*
不知道您是否需要这些 URL 用于传出连接,但您可以测试一下。
答案3
在大多数情况下,应用程序使用的网络路径是不对称的;也就是说,您可以阻止传入流量上的相应端口以防止传入连接,但允许该端口上的流量离开以允许传出连接。
如果你使用的是域中的 Windows 计算机,则可以使用 Active Directory 组策略在这些计算机上配置 Windows 防火墙以阻止适当的传入端口。
但是,在 TeamViewer 的具体情况下,他们提供了一个客户端程序,用户可以运行该程序连接到 TeamViewer 的服务器并沿着该路径路由传入连接;因此,传入防火墙是不够的。您还需要设置一条规则(使用 Windows 防火墙或网络上的其他地方)来阻止流向 teamviewer.com 的流量,但这样您的用户就无法自己使用该工具了。
简而言之,我认为阻止 TeamViewer 应用程序接受传入连接并允许其启动传出连接并不容易。在这种情况下,我会安装Wireshark在客户端计算机上,分析客户端监听的传入连接和另一台计算机上的传出连接所涉及的网络流量。可能会有一些类型的流量只出现在传入连接上,然后您可以使用 Windows 防火墙阻止这些流量,以防止这些连接正常工作。