Windows Server：防止复制软件

Question 1

有一种技术会让最终用户非常为难，那就是不给他们完整的桌面。与其给他们一个可以管理文件和复制文件的 Windows shell，不如将应用程序公开为远程应用程序。还使用组策略严格锁定系统，以防止从文件打开/保存对话框中启动 explorer.exe、命令 shell 和其他工具。这不会完全阻止技术高超的个人，但应该会让普通计算机用户望而却步。

如果您需要完整的桌面，您可以设置几个终端服务器，一个服务器提供完整的桌面，第二台服务器在终端服务器环境中提供远程应用程序。

如果无法运行远程应用程序，那么您可能需要做大量工作来使用组策略锁定系统。使用组策略，您可以阻止用户在 Windows 资源管理器和标准 Windows 文件对话框中浏览驱动器。这会让大多数人望而却步，但它可能会使您的系统更难使用，超出用户愿意接受的程度。这取决于您的要求。

另一种选择可能是通过类似以下方式提交你的申请应用程序。这是一种应用程序实际上并未安装在服务器上的技术。您需要一个特殊的客户端来运行该软件。如果您的基础设施足够快，那么您可以禁用应用程序文件的缓存。我对 app-v 内部机制并不十分熟悉，不知道是否有人可以从缓存中提取程序的副本，我怀疑他们可以，但我认为 App-v 不够常见，因此可能会让事情变得足够困难。

Answer

有一种技术会让最终用户非常为难，那就是不给他们完整的桌面。与其给他们一个可以管理文件和复制文件的 Windows shell，不如将应用程序公开为远程应用程序。还使用组策略严格锁定系统，以防止从文件打开/保存对话框中启动 explorer.exe、命令 shell 和其他工具。这不会完全阻止技术高超的个人，但应该会让普通计算机用户望而却步。

如果您需要完整的桌面，您可以设置几个终端服务器，一个服务器提供完整的桌面，第二台服务器在终端服务器环境中提供远程应用程序。

如果无法运行远程应用程序，那么您可能需要做大量工作来使用组策略锁定系统。使用组策略，您可以阻止用户在 Windows 资源管理器和标准 Windows 文件对话框中浏览驱动器。这会让大多数人望而却步，但它可能会使您的系统更难使用，超出用户愿意接受的程度。这取决于您的要求。

另一种选择可能是通过类似以下方式提交你的申请应用程序。这是一种应用程序实际上并未安装在服务器上的技术。您需要一个特殊的客户端来运行该软件。如果您的基础设施足够快，那么您可以禁用应用程序文件的缓存。我对 app-v 内部机制并不十分熟悉，不知道是否有人可以从缓存中提取程序的副本，我怀疑他们可以，但我认为 App-v 不够常见，因此可能会让事情变得足够困难。

Question 2

只需关闭本地设备和资源在远程会话中可用的功能即可。查看这篇 TechNet 文章了解有关该功能的更多信息。

如果您想要更精细的控制，只禁止通过已建立的会话复制某些文件，否则允许本地资源 - 我不知道这是否可能。

编辑：我现在明白了。抱歉造成混淆。如果需要阻止互联网复制文件，你可能面临一项艰巨的任务。如果这是一个只需要访问某些网站的受控环境，那么你可以在防火墙中创建一个默认的拒绝规则，只允许那些必要的互联网连接，从而禁止任何将内容复制到远程主机的合理可能性。

如果你必须完全访问互联网，那么可以研究一下 Imperva 等第三方工具文件防火墙。但我不能 100% 确定这是否正是你想要的。没有亲身体验过。

您可能需要查看 DPI 网关设备，它可以检查某些文件的文件传输并阻止其传输。当然，您需要阻止除已知良好主机之外的 SSL 连接。

Answer